Somos a sua fonte confiável de conselhos de tecnologia de casa inteligente! Obtenha as informações mais recentes sobre avaliações e dicas de compra, saiba mais sobre as tecnologias mais recentes. Crie um espaço de vida mais inteligente - graças ao smartech!
Assistentes inteligentesCâmeras e videomonitoramentoDispositivos interessantes

Wyze precisa esclarecer as falhas de segurança da Wyze Cam

12

Quando a Wyze anunciou no final de janeiro que descontinuaria a Wyze Cam original apenas alguns dias depois, expressou a mudança como uma celebração, chegando a dizer que a câmera “sempre terá um lugar especial em nossos corações".

Mas, mesmo com a promessa de Wyze de que “você ainda pode usar sua Wyze Cam v1” após a data de fim de vida iminente de 1º de fevereiro, a empresa acrescentou ameaçadoramente – e apenas em uma nota de rodapé – que “seu uso contínuo da Wyze Cam v1 após 1º de fevereiro de 2022 traz um risco maior, é desencorajado por Wyze e é inteiramente por sua conta e risco.”

Na época, algo soou um pouco estranho sobre o anúncio repentino de Wyze. Agora, parece que sabemos o porquê. 

No início desta semana, a empresa de segurança cibernética Bitdefender revelou (conforme relatado pela primeira vez por BleepingComputer) que havia descoberto anteriormente – como em três anos atrás – um trio de vulnerabilidades graves do Wyze Cam, uma das quais permitiria que invasores acessassem os dados no SD da câmera. cartão, incluindo imagens de vídeo gravadas.

Bitdefender diz que inicialmente alertou Wyze sobre as falhas em março de 2019. Os dois primeiros bugs foram corrigidos em setembro de 2019 e novembro de 2020, mas a falha no cartão SD permaneceu sem correção até 29 de janeiro de 2022, e apenas o Wyze Cam v2 e v3 conseguiu a correção, deixando o Wyze Cam original vulnerável à falha de segurança.

Ao anunciar que estava “aposentando” o Wyze Cam v1, Wyze disse que era porque a câmera “não pode mais suportar uma atualização de segurança necessária”. Olhando para trás, com certeza parece que a atualização a que Wyze estava se referindo era o patch de vulnerabilidade do cartão SD que o Wyze Cam v2 e v3 recebeu.

Ainda não recebi uma resposta de Wyze sobre o relatório da Bitdefender, mas em uma declaração ao BleepingComputer, um representante da Wyze disse:

Na Wyze, valorizamos imensamente a confiança de nossos usuários em nós e levamos todas as preocupações de segurança a sério.

Estamos constantemente avaliando a segurança de nossos sistemas e tomamos as medidas apropriadas para proteger a privacidade de nossos clientes. Agradecemos a divulgação responsável fornecida pela Bitdefender sobre essas vulnerabilidades. Trabalhamos com o Bitdefender e corrigimos os problemas de segurança em nossos produtos suportados. Essas atualizações já estão implantadas em nossas atualizações mais recentes de aplicativos e firmware.

Isso é muito bom, mas não responde à questão de por que Wyze simplesmente não explicou a vulnerabilidade do cartão SD no Wyze Cam original e sem correção e explicitamente alertou os usuários sobre os riscos.

Uma mulher sábia do setor de tecnologia me disse uma vez: “Não vendemos pasta de dente; nós vendemos confiança.” Bem, Wyze agora está enfrentando uma séria lacuna de credibilidade e precisa ser limpo. Um pedido de desculpas provavelmente também está em ordem.

Atualização: Wyze me enviou um link para sua resposta oficial na noite seguinte à publicação original desta história. O texto completo está incluído abaixo.

Na Wyze, valorizamos imensamente a confiança de nossos usuários em nós e levamos todas as preocupações de segurança a sério.
Estamos constantemente avaliando a segurança de nossos sistemas e tomando as medidas apropriadas para proteger a privacidade de nossos clientes. Apreciamos a divulgação responsável fornecida pela Bitdefender sobre essas vulnerabilidades e trabalhamos diretamente com eles para corrigir os problemas de segurança em nossos produtos suportados antes do relatório público.
Primeiramente, gostaríamos de informar aos nossos usuários que essas vulnerabilidades exigiam alguma forma de acesso à rede local. Portanto, você teria que expor sua rede local ao malfeitor diretamente ou à Internet em geral para que essas vulnerabilidades pudessem ser exploradas remotamente (tenha certeza de que você não deveria e provavelmente não tem uma configuração como esta).
Conforme relatado pela Bitdefender em sua linha do tempo, emitimos o primeiro patch no mês seguinte à nossa notificação e, ao longo do tempo, continuamos a mitigar o risco dessas explorações com patches adicionais nos meses seguintes. Corrigimos esses problemas e não consideramos mais isso contínuo após o lançamento das atualizações de segurança críticas finais para a última das vulnerabilidades locais encontradas no relatório em fevereiro de 2022. Embora tenhamos iniciado o desenvolvimento rapidamente, queremos responder mais rapidamente no futuro e fizemos avanços significativos em nossa infraestrutura de segurança, incluindo a contratação de uma equipe de engenheiros de segurança dedicados para trabalhar exclusivamente em respostas a eventos de segurança e fortalecer a proteção de nossos usuários.
Você pode estar se perguntando: “Por que só estou ouvindo sobre isso agora?” Bitdefender e Wyze levam a sério a segurança dos usuários afetados. Sabendo que estávamos trabalhando ativamente na mitigação de riscos e atualizações corretivas, chegamos juntos à conclusão de que era mais seguro ser prudente sobre os detalhes até que as vulnerabilidades fossem corrigidas.
Infelizmente, apesar dos extensos esforços que se estendem até 2022, descobrimos que o Wyze Cam v1 (vendido pela última vez em março de 2018) não suportava as atualizações de segurança necessárias. A memória limitada da câmera que nos levou a criar o Wyze Cam v2 impediu diretamente a correção desses problemas naquele produto. Fomos transparentes com nossos clientes e divulgamos nossa incapacidade de continuar a oferecer as atualizações de segurança necessárias em um e-mail anunciando o fim da vida útil (EOL) deste produto. Por motivos de segurança, novamente optamos por permanecer prudentes sobre o motivo específico até agora para limitar o risco a todos os nossos usuários afetados nos modelos afetados. Sugerimos enfaticamente que nossos clientes não usem mais produtos EOL, pois segurança e outras atualizações críticas não são mais fornecidas, e continuamos a instar os proprietários do Wyze Cam v1 a descontinuar o uso desses produtos.
Selecionar a tecnologia para proteger sua casa e seus entes queridos é uma grande decisão. Nossa jornada para tornar a tecnologia acessível a todos continua, e estamos comprometidos em fornecer uma experiência confiável e segura para todos.
Se alguém tiver dúvidas ou preocupações sobre a segurança da Wyze, envie um e-mail diretamente para nossa equipe de segurança através de security@wyze.com.

Atualizado em 4 de abril de 2022 para adicionar uma resposta oficial de Wyze.

Fonte de gravação: techhive.com
você pode gostar também Mais do autor

Este site usa cookies para melhorar sua experiência. Presumiremos que você está ok com isso, mas você pode cancelar, se desejar. Aceitar Consulte Mais informação