Wyze ha scoperto una vulnerabilità della fotocamera nel 2019 e non l’ha detto a nessuno
Wyze vende telecamere di sicurezza intelligenti a basso costo sin dall’originale Wyze Cam nel 2017 e si è anche ramificata in altre categorie di prodotti (come le cuffie). Tuttavia, l’azienda ha anche affrontato la sua giusta dose di problemi ed è emerso un altro problema significativo: gli hacker possono accedere ai canali video da Wyze Cams.
Bitdefender ha rivelato pubblicamente una serie di vulnerabilità di sicurezza nelle telecamere di sicurezza Wyze martedì, che interessano Wyze Cam Pan v2 (prima della 4.49.1.47), Wyze Cam v2 (prima della 4.9.8.1002) e Wyze Cam v3 (prima della 4.36.8.32) e il fotocamera originale Wyze su tutte le versioni firmware. La prima scappatoia, nota come CVE-2019-9564, consente agli hacker di ignorare gli accessi per i dispositivi Wyze e ottenere l’accesso ai controlli della fotocamera. Bitdefender ha anche scoperto una vulnerabilità in un overflow del buffer dello stack (CVE-2019-12266), che, se utilizzato con la prima vulnerabilità, potrebbe essere utilizzato per accedere in remoto al feed video di una telecamera.
Per sfruttare questa falla di sicurezza è necessario conoscere l’ID iniziale della telecamera, che è una stringa casuale che può essere registrata solo entrando nella stessa rete locale della telecamera. Ciò limita notevolmente la portata del difetto di sicurezza, poiché un hacker dovrà prima accedere alla rete domestica prima di accedere al feed video dalla Wyze Cam.
Il problema principale qui non è in realtà la vulnerabilità, è un problema di Wyze affrontarlo Debolezza. Bitdefender afferma di aver contattato Wyze due volte, prima il 6 marzo 2019 e di nuovo il 15 marzo 2019, e sembra che non abbia ricevuto risposta. Nei mesi successivi, Wyze ha aggiornato alcune delle sue telecamere con una correzione parziale per la vulnerabilità di accesso, senza rispondere a Bitdefender. Wyze non ha finalmente comunicato con Bitdefender fino a novembre 2020 e le correzioni finali non sono state pubblicate fino a gennaio 2022.
Email inviata ai clienti Wyze il 6 gennaio 2022 (Fonte: The Verge)
Non solo Wyze non ha agito rapidamente e ha collaborato con Bitdefender per risolvere i problemi di sicurezza, ma l’azienda non ha mai riconosciuto la vulnerabilità dei suoi clienti. ha detto Wizz il bordo Che l’azienda è stata trasparente con i suoi clienti e “ha risolto completamente il problema”, ma la fotocamera Wyze originale non ha ricevuto alcuna risoluzione e sembra che l’azienda non abbia mai parlato ai clienti di questo problema specifico.
Wyze non ha rilasciato una dichiarazione pubblica sulle sue vulnerabilità Account Twitter o altri account di social media, al momento della pubblicazione di questo articolo.
fonte: il bordoE il Bitdefender
“Esploratore. Scrittore appassionato. Appassionato di Twitter. Organizzatore. Amico degli animali ovunque.”