Wyze peab Wyze Cami turvavigade osas selgeks tegema

Kui Wyze jaanuari lõpus teatas, et lõpetab algse Wyze Cami tootmise alles mõni päev hiljem, nimetas see kolimist pidustuseks, öeldes nii kaugele, et kaameral on meie südames alati eriline koht.

Kuid isegi kui Wyze lubas, et "saate siiski kasutada oma Wyze Cam v1" pärast eelseisvat 1. veebruari kasutusea lõppu, lisas ettevõte kurjakuulutavalt ja ainult joonealuses märkuses, et "teie jätkate Wyze Cam v1 kasutamist pärast seda 1. veebruar 2022 toob endaga kaasa suurema riski, Wyze on seda heidutanud ja on täiesti teie enda riisikol.

Sel ajal kõlas Wyze äkilise teadaande kohta midagi pisut, noh, valesti. Nüüd tundub, et me teame, miks. 

Selle nädala alguses paljastas küberturvafirma Bitdefender (nagu esmakordselt teatas BleepingComputer ), et ta oli varem – nagu ka kolm aastat tagasi – avastanud kolm tõsist Wyze Cami haavatavust, millest üks oleks võimaldanud ründajatel pääseda juurde kaamera SD-l olevatele andmetele. kaart, sealhulgas salvestatud videomaterjal.

Bitdefender ütleb, et see hoiatas Wyze’i vigade eest 2019. aasta märtsis. Esimesed kaks viga parandati septembris 2019 ja novembris 2020, kuid SD-kaardi viga jäi parandamata kuni 29. jaanuarini 2022 ning ainult Wyze Cam v2 ja v3 said paranduse., jättes esialgse Wyze Cami turvaaugu haavatavaks.

Teatades, et Wyze Cam v1 "eemaldab", ütles Wyze, et selle põhjuseks oli see, et kaamera "ei suuda enam toetada vajalikku turvavärskendust". Tagantjärele mõeldes kõlab kindlasti nii, et värskendus, millele Wyze viitas, oli SD-kaardi haavatavus, mille Wyze Cam v2 ja v3 said.

Ma ei ole Wyze’ilt Bitdefenderi aruande kohta veel kuulnud, kuid BleepingComputerile tehtud avalduses ütles Wyze’i esindaja:

Wyze’is hindame kasutajate usaldust meie vastu tohutult ja võtame kõiki turvaprobleeme tõsiselt.

Hindame pidevalt oma süsteemide turvalisust ja võtame asjakohaseid meetmeid oma klientide privaatsuse kaitsmiseks. Hindasime Bitdefenderi vastutustundlikku avalikustamist nende haavatavuste kohta. Töötasime Bitdefenderiga ja parandasime toetatud toodete turvaprobleeme. Need värskendused on meie uusimates rakenduste ja püsivara värskendustes juba juurutatud.

See kõik on hea, kuid see ei vasta küsimusele, miks Wyze lihtsalt ei selgitanud SD-kaardi haavatavust algses, paigatamata Wyze Camis ega hoiatanud kasutajaid selgesõnaliselt ohtude eest.

Üks tark naine tehnoloogiasektoris ütles mulle kord: „Me ei müü hambapastat; müüme usaldust." Noh, Wyze on nüüd silmitsi tõsise usaldusväärsuse puudujäägiga ja see peab saama puhtaks. Ilmselt on ka vabandus.

Värskendus: Wyze saatis mulle lingi oma ametlikule vastusele õhtul pärast selle loo algset avaldamist. Täistekst on lisatud allpool.

Wyze’is hindame kasutajate usaldust meie vastu tohutult ja võtame kõiki turvaprobleeme tõsiselt.
Hindame pidevalt oma süsteemide turvalisust ja võtame asjakohaseid meetmeid oma klientide privaatsuse kaitsmiseks. Hindasime Bitdefenderi vastutustundlikku avalikustamist nende haavatavuste kohta ja tegime nendega otse koostööd, et enne avalikku aruannet parandada meie toetatud toodete turvaprobleemid.
Esmalt soovime oma kasutajatele teada anda, et need haavatavused nõuavad mingil kujul juurdepääsu kohalikule võrgule. Seega oleksite pidanud oma kohalikku võrku avalikustama kas otse halvale tegutsejale või Internetile laiemalt, et neid turvaauke saaks eemalt ära kasutada (oletage kindel, et te ei tohiks ja tõenäoliselt ei ole teil sellist seadistust).
Nagu Bitdefender oma ajaskaalal teatas, väljastasime esimese plaastri teatisele järgneval kuul ja aja jooksul jätkasime järgmistel kuudel nende ärakasutamise riskide leevendamist täiendavate paikadega. Oleme need probleemid parandanud ja ei pea seda enam käimas pärast viimaste kriitiliste turvavärskenduste väljaandmist aruandes leitud viimaste kohalike haavatavuste jaoks 2022. aasta veebruaris. Ehkki alustasime arendusega kiiresti, tahame edaspidi reageerida kiiremini. ja oleme teinud olulisi edusamme meie turbetaristu osas, sealhulgas palganud pühendunud turbeinseneride meeskonna, kes töötaks ainult turbesündmustele reageerimise kallal ja meie kasutajate kaitse tugevdamisel.
Võite küsida: "Miks ma sellest alles nüüd kuulen?" Nii Bitdefender kui ka Wyze võtavad mõjutatud kasutajate turvalisust tõsiselt. Teades, et töötame aktiivselt riskide maandamise ja korrigeerivate uuenduste kallal, jõudsime ühiselt järeldusele, et kõige kindlam on olla detailide osas ettevaatlik, kuni haavatavused on parandatud.
Kahjuks, vaatamata 2022. aastani ulatuvatele ulatuslikele jõupingutustele, avastasime, et Wyze Cam v1 (viimati müüdud 2018. aasta märtsis) ei toeta vajalikke turbevärskendusi. Piiratud kaamera mälu, mis ajendas meid looma Wyze Cam v2, takistas otseselt nende probleemide parandamist sellel tootel. Suhtlesime oma klientidega läbipaistvalt ja avaldasime oma suutmatusest jätkata vajalike turvavärskenduste pakkumist e-kirjas, milles teatasime selle toote kasutusea lõppemisest (EOL). Turvakaalutlustel otsustasime jääda ettevaatlikuks konkreetse põhjuse osas, miks seni piirasime kõigi mõjutatud mudelite puhul ohtu kõigile meie mõjutatud kasutajatele. Soovitame tungivalt, et meie kliendid ei kasutaks enam EOL-i tooteid, kuna enam ei pakuta turbe ega muid kriitilisi värskendusi, ning soovitame jätkuvalt Wyze Cam v1 omanikel nende toodete kasutamisest loobuda.
Tehnoloogia valimine oma kodu ja lähedaste kaitsmiseks on suur otsus. Meie teekond selle nimel, et muuta suurepärane tehnoloogia kõigile kättesaadavaks, jätkub ja oleme pühendunud kõigile usaldusväärse ja turvalise kogemuse pakkumisele.
Kui kellelgi on küsimusi või muresid Wyze’i turvalisuse kohta, saatke meie turvameeskonnale e-kiri otse aadressil security@wyze.com.

Värskendatud 4. aprillil 2022, et lisada Wyze ametlik vastus.