Siamo la tua fonte affidabile di consulenza sulla tecnologia della casa intelligente! Ottieni le ultime informazioni su recensioni e suggerimenti per l'acquisto, scopri le ultime tecnologie. Crea uno spazio abitativo più intelligente - grazie a smartech!
Assistenti intelligentiCasa intelligenteDispositivi interessanti

Wyze deve chiarire i difetti di sicurezza della Wyze Cam

9

Quando Wyze ha annunciato alla fine di gennaio che avrebbe interrotto la Wyze Cam originale solo pochi giorni dopo, ha presentato la mossa come una celebrazione, arrivando al punto di dire che la fotocamera "avrà sempre un posto speciale nei nostri cuori".

Ma anche se Wyze ha promesso che "puoi ancora utilizzare la tua Wyze Cam v1" dopo l’imminente data di fine vita del 1 febbraio, la società ha aggiunto minacciosamente – e solo in una nota a piè di pagina – che "il tuo uso continuato della Wyze Cam v1 dopo Il 1° febbraio 2022 comporta un rischio maggiore, è sconsigliato da Wyze ed è interamente a proprio rischio.

A quel tempo, qualcosa suonava un po’ strano sull’improvviso annuncio di Wyze. Ora, sembra che sappiamo perché. 

All’inizio di questa settimana, la società di sicurezza informatica Bitdefender ha rivelato (come riportato per la prima volta da BleepingComputer) di aver scoperto in precedenza, come tre anni fa, un trio di gravi vulnerabilità di Wyze Cam, una delle quali avrebbe consentito agli aggressori di accedere ai dati sull’SD della fotocamera scheda, comprese le riprese video registrate.

Bitdefender afferma di aver inizialmente avvertito Wyze dei difetti nel marzo 2019. I primi due bug sono stati corretti a settembre 2019 e novembre 2020, ma il difetto della scheda SD è rimasto senza patch fino al 29 gennaio 2022 e solo Wyze Cam v2 e v3 hanno ottenuto la correzione, lasciando la Wyze Cam originale vulnerabile al buco di sicurezza.

Quando ha annunciato che stava "ritirando" la Wyze Cam v1, Wyze ha affermato che era perché la videocamera "non può più supportare un aggiornamento di sicurezza necessario". Guardando indietro, sembra proprio che l’aggiornamento a cui si riferiva Wyze fosse la patch di vulnerabilità della scheda SD ricevuta da Wyze Cam v2 e v3.

Devo ancora ricevere notizie da Wyze sul rapporto di Bitdefender, ma in una dichiarazione a BleepingComputer, un rappresentante di Wyze ha dichiarato:

In Wyze diamo un valore immenso alla fiducia che i nostri utenti ripongono in noi e prendiamo sul serio tutti i problemi di sicurezza.

Valutiamo costantemente la sicurezza dei nostri sistemi e adottiamo le misure appropriate per proteggere la privacy dei nostri clienti. Abbiamo apprezzato la divulgazione responsabile fornita da Bitdefender su queste vulnerabilità. Abbiamo lavorato con Bitdefender e risolto i problemi di sicurezza nei nostri prodotti supportati. Questi aggiornamenti sono già distribuiti nei nostri ultimi aggiornamenti di app e firmware.

Va tutto bene, ma non risponde alla domanda sul perché Wyze non ha semplicemente spiegato la vulnerabilità della scheda SD nella Wyze Cam originale senza patch e ha avvertito esplicitamente gli utenti dei rischi.

Una donna saggia nel settore della tecnologia una volta mi disse: “Noi non vendiamo dentifricio; vendiamo fiducia". Bene, Wyze sta ora affrontando un grave divario di credibilità e deve essere ripulito. Probabilmente anche delle scuse sono d’obbligo.

Aggiornamento: Wyze mi ha inviato un link alla sua risposta ufficiale la sera dopo che questa storia è stata originariamente pubblicata. Il testo completo è incluso di seguito.

In Wyze diamo un valore immenso alla fiducia che i nostri utenti ripongono in noi e prendiamo sul serio tutti i problemi di sicurezza.
Valutiamo costantemente la sicurezza dei nostri sistemi e adottiamo le misure appropriate per proteggere la privacy dei nostri clienti. Abbiamo apprezzato la divulgazione responsabile fornita da Bitdefender su queste vulnerabilità e abbiamo lavorato direttamente con loro per correggere i problemi di sicurezza nei nostri prodotti supportati prima della segnalazione pubblica.
Per prima cosa vorremmo far sapere ai nostri utenti che queste vulnerabilità richiedevano una qualche forma di accesso alla rete locale. Quindi, avresti dovuto esporre la tua rete locale direttamente al cattivo attore o a Internet in generale affinché queste vulnerabilità fossero sfruttabili da remoto (ti assicuro che non dovresti e probabilmente non hai una configurazione come questa).
Come riportato da Bitdefender nella loro sequenza temporale, abbiamo rilasciato la prima patch nel mese successivo alla nostra notifica e nel tempo abbiamo continuato a mitigare il rischio di questi exploit con patch aggiuntive nei mesi successivi. Abbiamo risolto questi problemi e non lo consideriamo più in corso dopo il rilascio degli ultimi aggiornamenti di sicurezza critici per l’ultima delle vulnerabilità locali rilevate nel rapporto nel febbraio 2022. Sebbene abbiamo avviato rapidamente lo sviluppo, vogliamo rispondere più rapidamente in futuro e abbiamo compiuto progressi significativi nella nostra infrastruttura di sicurezza, inclusa l’assunzione di un team di ingegneri della sicurezza dedicati per lavorare esclusivamente sulle risposte agli eventi di sicurezza e sul rafforzamento della protezione per i nostri utenti.
Potresti chiederti: "Perché ne sto sentendo parlare solo ora?" Sia Bitdefender che Wyze prendono sul serio la sicurezza degli utenti interessati. Sapendo che stavamo lavorando attivamente alla mitigazione del rischio e agli aggiornamenti correttivi, siamo giunti alla conclusione insieme che era più sicuro essere prudenti sui dettagli fino a quando le vulnerabilità non fossero state risolte.
Sfortunatamente, nonostante i grandi sforzi protratti fino al 2022, abbiamo scoperto che Wyze Cam v1 (venduta l’ultima volta a marzo 2018) non era in grado di supportare gli aggiornamenti di sicurezza necessari. La memoria limitata della fotocamera che ci ha spinto a creare Wyze Cam v2 ha impedito direttamente di correggere questi problemi su quel prodotto. Siamo stati trasparenti con i nostri clienti e abbiamo comunicato la nostra incapacità di continuare a offrire gli aggiornamenti di sicurezza necessari in un’e-mail che annunciava la fine del ciclo di vita (EOL) di questo prodotto. Per motivi di sicurezza, abbiamo nuovamente scelto di rimanere prudenti riguardo al motivo specifico per cui fino ad ora limitare il rischio a tutti i nostri utenti interessati attraverso i modelli interessati. Consigliamo vivamente ai nostri clienti di non utilizzare più i prodotti EOL poiché la sicurezza e altri aggiornamenti critici non vengono più forniti e continuiamo a sollecitare i proprietari di Wyze Cam v1 a interrompere l’uso di questi prodotti.
Selezionare la tecnologia per proteggere la tua casa e i tuoi cari è una decisione importante. Il nostro viaggio per rendere la grande tecnologia accessibile a tutti continua e ci impegniamo a fornire un’esperienza affidabile e sicura per tutti.
Se qualcuno ha domande o dubbi sulla sicurezza di Wyze, inviare un’e-mail direttamente al nostro team di sicurezza tramite security@wyze.com.

Aggiornato il 4 aprile 2022 per aggiungere una risposta ufficiale da Wyze.

Fonte di registrazione: techhive.com
Potrebbe piacerti anche Altri di autore

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More