Nous sommes votre source fiable de conseils en matière de technologie de maison intelligente! Obtenez les dernières informations sur les avis et les conseils d’achat, découvrez les dernières technologies. Créez un espace de vie plus intelligent - grâce à smartech!
Appareils intéressantsAssistants intelligentsCaméras et vidéosurveillance

Wyze doit clarifier les failles de sécurité de la Wyze Cam

12

Lorsque Wyze a annoncé fin janvier qu’il abandonnerait la Wyze Cam originale quelques jours plus tard, il a présenté cette décision comme une célébration, allant jusqu’à dire que la caméra "occupera toujours une place spéciale dans nos cœurs".

Mais même si Wyze a promis que "vous pouvez toujours utiliser votre Wyze Cam v1" après sa date de fin de vie imminente du 1er février, la société a ajouté de manière inquiétante – et seulement dans une note de bas de page – que "votre utilisation continue de la Wyze Cam v1 après Le 1er février 2022 comporte un risque accru, est découragé par Wyze et est entièrement à vos propres risques.

À l’époque, quelque chose sonnait un peu, eh bien, à propos de l’annonce soudaine de Wyze. Maintenant, il semble que nous sachions pourquoi. 

Plus tôt cette semaine, la société de cybersécurité Bitdefender a révélé (comme indiqué pour la première fois par BleepingComputer) qu’elle avait précédemment – comme il y a trois ans – découvert un trio de vulnérabilités graves de Wyze Cam, dont l’une aurait permis aux attaquants d’ accéder aux données sur la carte SD de la caméra. carte, y compris les séquences vidéo enregistrées.

Bitdefender dit avoir initialement averti Wyze des failles en mars 2019. Les deux premiers bogues ont été corrigés en septembre 2019 et novembre 2020, mais la faille de la carte SD est restée non corrigée jusqu’au 29 janvier 2022, et seules les Wyze Cam v2 et v3 ont obtenu le correctif., laissant la Wyze Cam d’origine vulnérable à la faille de sécurité.

Lorsqu’il a annoncé qu’il "retirait" la Wyze Cam v1, Wyze a déclaré que c’était parce que la caméra "ne pouvait plus prendre en charge une mise à jour de sécurité nécessaire". Avec le recul, il semble que la mise à jour à laquelle Wyze faisait référence était le correctif de vulnérabilité de la carte SD que les Wyze Cam v2 et v3 ont reçu.

Je n’ai pas encore reçu de réponse de Wyze concernant le rapport Bitdefender, mais dans une déclaration à BleepingComputer, un représentant de Wyze a déclaré :

Chez Wyze, nous accordons une immense valeur à la confiance de nos utilisateurs et prenons au sérieux tous les problèmes de sécurité.

Nous évaluons constamment la sécurité de nos systèmes et prenons les mesures appropriées pour protéger la vie privée de nos clients. Nous avons apprécié la divulgation responsable fournie par Bitdefender sur ces vulnérabilités. Nous avons travaillé avec Bitdefender et corrigé les problèmes de sécurité de nos produits pris en charge. Ces mises à jour sont déjà déployées dans nos dernières mises à jour d’applications et de micrologiciels.

C’est bien beau, mais cela ne répond pas à la question de savoir pourquoi Wyze n’a pas simplement expliqué la vulnérabilité de la carte SD dans la Wyze Cam originale et non corrigée et averti explicitement les utilisateurs des risques.

Une sage femme du secteur de la technologie m’a dit un jour: «Nous ne vendons pas de dentifrice ; nous vendons la confiance. Eh bien, Wyze fait maintenant face à un sérieux manque de crédibilité, et il doit être clair. Des excuses sont probablement aussi de mise.

Mise à jour : Wyze m’a envoyé un lien vers sa réponse officielle le soir suivant la publication initiale de cette histoire. Le texte complet est inclus ci-dessous.

Chez Wyze, nous accordons une immense valeur à la confiance de nos utilisateurs et prenons au sérieux tous les problèmes de sécurité.
Nous évaluons constamment la sécurité de nos systèmes et prenons les mesures appropriées pour protéger la vie privée de nos clients. Nous avons apprécié la divulgation responsable fournie par Bitdefender sur ces vulnérabilités et avons travaillé directement avec eux pour corriger les problèmes de sécurité dans nos produits pris en charge avant le rapport public.
Nous aimerions tout d’abord informer nos utilisateurs que ces vulnérabilités nécessitaient une certaine forme d’accès au réseau local. Ainsi, vous auriez dû exposer votre réseau local au mauvais acteur directement ou à Internet dans son ensemble pour que ces vulnérabilités soient exploitables à distance (rassurez-vous, vous ne devriez pas et n’avez probablement pas une configuration comme celle-ci).
Comme Bitdefender l’a signalé dans sa chronologie, nous avons publié le premier correctif dans le mois suivant notre notification, et au fil du temps, nous avons continué à atténuer le risque de ces exploits avec des correctifs supplémentaires dans les mois qui ont suivi. Nous avons corrigé ces problèmes et ne considérons plus cela comme continu après la publication des dernières mises à jour de sécurité critiques pour la dernière des vulnérabilités locales trouvées dans le rapport en février 2022. Bien que nous ayons lancé le développement rapidement, nous souhaitons réagir plus rapidement à l’avenir. et ont fait des progrès significatifs dans notre infrastructure de sécurité, notamment en recrutant une équipe d’ingénieurs en sécurité dédiés pour travailler exclusivement sur les réponses aux événements de sécurité et en renforçant la protection de nos utilisateurs.
Vous vous demandez peut-être: «Pourquoi est-ce que j’en entends parler maintenant? Bitdefender et Wyze prennent tous deux au sérieux la sécurité des utilisateurs concernés. Sachant que nous travaillions activement sur l’atténuation des risques et les mises à jour correctives, nous sommes arrivés à la conclusion ensemble qu’il était plus sûr d’être prudent sur les détails jusqu’à ce que les vulnérabilités soient corrigées.
Malheureusement, malgré des efforts considérables jusqu’en 2022, nous avons constaté que Wyze Cam v1 (vendue pour la dernière fois en mars 2018) ne pouvait pas prendre en charge les mises à jour de sécurité nécessaires. La mémoire limitée de l’appareil photo qui nous a incités à créer Wyze Cam v2 a directement empêché de corriger ces problèmes sur ce produit. Nous avons été transparents avec nos clients et avons révélé notre incapacité à continuer à proposer les mises à jour de sécurité nécessaires dans un e-mail annonçant la fin de vie (EOL) de ce produit. Pour des raisons de sécurité, nous avons de nouveau choisi de rester prudents quant à la raison spécifique pour laquelle jusqu’à présent, nous avons limité le risque pour tous nos utilisateurs concernés sur les modèles concernés. Nous suggérons fortement à nos clients de ne plus utiliser les produits EOL car les mises à jour de sécurité et autres mises à jour critiques ne sont plus fournies, et nous continuons d’exhorter les propriétaires de Wyze Cam v1 à cesser d’utiliser ces produits.
Choisir une technologie pour protéger votre maison et vos proches est une décision importante. Notre voyage pour rendre la technologie de pointe accessible à tous se poursuit, et nous nous engageons à fournir une expérience fiable et sécurisée pour tous.
Si quelqu’un a des questions ou des préoccupations concernant la sécurité de Wyze, veuillez envoyer un e-mail à notre équipe de sécurité directement via security@wyze.com.

Mis à jour le 4 avril 2022 pour ajouter une réponse officielle de Wyze.

Source d’enregistrement: techhive.com
You might also like More from author

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More