O que você precisa saber
- A linha de câmeras de segurança da Wyze foi suscetível a hackers por anos.
- A empresa sabia da grande falha de segurança, mas não contou aos clientes.
- A Wyze encerrou o suporte apenas para algumas das câmeras afetadas, pois não foi possível implementar uma correção devido a limitações de hardware.
Se você ainda estiver usando uma Wyze Cam v1 agora, provavelmente é uma boa ideia parar de usar a câmera de segurança imediatamente. Parece que uma grande vulnerabilidade permitia que invasores acessassem seus vídeos armazenados ou assistissem a você em segredo, e a Wyze não informou os clientes nos três anos desde que soube pela primeira vez sobre a segurança imperfeição.
Bitdefender revelou que descobriu uma vulnerabilidade na linha de câmeras de segurança Cam da Wyze em março de 2019 e notificou a empresa sobre isso (via The Verge). No entanto, Wyze não respondeu até novembro de 2020.
"Ao examinar o dispositivo Wyze Cam, identificamos várias vulnerabilidades que permitem que um invasor acessar o feed da câmera ou executar código malicioso para comprometer ainda mais o dispositivo", Bitdefender disse.
Wyze disse em um postagem no blog que o escopo da falha é limitado, pois um hacker precisa primeiro obter acesso ao seu Wi-Fi doméstico antes de poder visualizar os vídeos armazenados na câmera.
“Primeiramente, gostaríamos de informar aos nossos usuários que essas vulnerabilidades exigiam alguma forma de acesso à rede local”, explicou Wyze. “Portanto, você teria que expor sua rede local ao malfeitor diretamente ou à Internet em geral para que essas vulnerabilidades pudessem ser exploradas remotamente”.
Felizmente para os proprietários de Wyze's melhores câmeras de segurança internas, incluindo o Cam v2 e v3, um patch foi lançado no final de janeiro, conforme Computador apitando. Mas isso também significa que a empresa demorou a tomar medidas para corrigir a falha. Nos últimos três anos, as câmeras Cam v1, v2 e v3 da Wyze foram suscetíveis a hackers.
No entanto, o Cam v1 foi deixado de fora, com Wyze simplesmente encerrando o suporte para ele em fevereiro. já que aquele modelo em particular "não suportava as atualizações de segurança necessárias" devido à sua limitação memória. Embora o problema tenha sido corrigido para modelos mais novos, Wyze nunca informou os clientes sobre a natureza da falha de segurança, mantendo-os no escuro.
"Bitdefender e Wyze levam a sério a segurança dos usuários afetados", disse Wyze em seu blog. "Sabendo que estávamos trabalhando ativamente na mitigação de riscos e atualizações corretivas, chegamos ao concluímos juntos que era mais seguro ser prudente sobre os detalhes até que as vulnerabilidades fossem fixo."
Não está claro se a falha foi explorada, mas teria dado aos intrusos acesso ao conteúdo do cartão SD da sua câmera.
The Verge também levantou questões sobre a divulgação tardia da Bitdefender. Seu diretor de relações públicas, Steve Fiore, disse à agência de notícias que "divulgar as descobertas antes de o fornecedor fornecer patches colocaria muitas pessoas em risco".
No entanto, não é comum que os pesquisadores de segurança esperem três anos antes de revelar vulnerabilidades.