Мы ваш надежный источник советов по технологиям умного дома! Получите последнюю информацию об обзорах и советах по покупке, узнайте о новинках технологий. Создайте более умное жилое пространство - благодаря smartech!
Безопасность дома |Интересные устройстваКамеры и видео наблюдение

Wyze нужно разобраться в недостатках безопасности Wyze Cam

11

Когда Wyze объявила в конце января, что прекратит выпуск оригинальной Wyze Cam всего через несколько дней, она представила этот шаг как праздник, зайдя так далеко, что заявила, что камера «всегда будет занимать особое место в наших сердцах».

Но даже несмотря на то, что Wyze пообещала, что «вы все еще можете использовать свою Wyze Cam v1» после приближающейся даты окончания ее срока службы 1 февраля, компания зловеще добавила — и только в сноске — что «ваше дальнейшее использование Wyze Cam v1 после 1 февраля 2022 года сопряжено с повышенным риском, Wyze не одобряет его и вы полностью на свой страх и риск».

В то время что-то звучало немного не так во внезапном заявлении Wyze. Теперь, кажется, мы знаем, почему. 

Ранее на этой неделе фирма по кибербезопасности Bitdefender сообщила (как впервые сообщил BleepingComputer ), что ранее, как и три года назад, она обнаружила три серьезные уязвимости Wyze Cam, одна из которых позволила бы злоумышленникам получить доступ к данным на SD-карте камеры. карты, включая записанные видеоматериалы.

Bitdefender говорит, что первоначально предупредил Wyze о недостатках в марте 2019 года. Первые две ошибки были исправлены в сентябре 2019 года и ноябре 2020 года, но недостаток SD-карты оставался неисправленным до 29 января 2022 года, и только Wyze Cam v2 и v3 получили исправление., оставив оригинальную Wyze Cam уязвимой для дыры в безопасности.

Объявляя о «прекращении использования» Wyze Cam v1, Wyze заявила, что это связано с тем, что камера «больше не может поддерживать необходимое обновление безопасности». Оглядываясь назад, кажется, что обновление, о котором говорил Wyze, было исправлением уязвимости SD-карты, которое получили Wyze Cam v2 и v3.

Мне еще предстоит получить ответ от Wyze об отчете Bitdefender, но в заявлении для BleepingComputer представитель Wyze сказал:

В Wyze мы очень ценим доверие наших пользователей к нам и серьезно относимся ко всем вопросам безопасности.

Мы постоянно оцениваем безопасность наших систем и принимаем соответствующие меры для защиты конфиденциальности наших клиентов. Мы высоко оценили ответственное раскрытие Bitdefender этих уязвимостей. Мы работали с Bitdefender и исправили проблемы безопасности в наших поддерживаемых продуктах. Эти обновления уже развернуты в наших последних обновлениях приложений и встроенного ПО.

Это все хорошо, но это не отвечает на вопрос, почему Wyze просто не объяснила уязвимость SD-карты в оригинальной, неисправленной Wyze Cam и явно не предупредила пользователей о рисках.

Одна мудрая женщина из технологического сектора однажды сказала мне: «Мы не продаем зубную пасту; мы продаем доверие». Что ж, Wyze сейчас сталкивается с серьезным пробелом в доверии, и это нужно исправить. Извинения, наверное, тоже уместны.

Обновление: Wyze прислал мне ссылку на свой официальный ответ вечером после того, как эта история была первоначально опубликована. Полный текст приведен ниже.

В Wyze мы очень ценим доверие наших пользователей к нам и серьезно относимся ко всем вопросам безопасности.
Мы постоянно оцениваем безопасность наших систем и принимаем соответствующие меры для защиты конфиденциальности наших клиентов. Мы высоко оценили ответственное раскрытие информации об этих уязвимостях, предоставленное Bitdefender, и работали напрямую с ними, чтобы исправить проблемы безопасности в наших поддерживаемых продуктах до публичного отчета.
Сначала мы хотели бы сообщить нашим пользователям, что эти уязвимости требуют доступа к локальной сети в той или иной форме. Таким образом, вам пришлось бы подвергать свою локальную сеть либо злоумышленнику напрямую, либо Интернету в целом, чтобы эти уязвимости можно было использовать удаленно (будьте уверены, что вы не должны и, вероятно, не имеете такой настройки).
Как сообщил Bitdefender в своей временной шкале, мы выпустили первый патч через месяц после нашего уведомления, и со временем мы продолжали снижать риск этих эксплойтов с помощью дополнительных исправлений в последующие месяцы. Мы исправили эти проблемы и больше не считаем это продолжающимся после выпуска последних критических обновлений безопасности для последней из локальных уязвимостей, обнаруженных в отчете в феврале 2022 года. Хотя мы быстро начали разработку, мы хотим быстрее реагировать в будущем. и добились значительных успехов в нашей инфраструктуре безопасности, в том числе наняв команду специальных инженеров по безопасности, которые будут работать исключительно над реагированием на события безопасности и усилением защиты наших пользователей.
Вы можете задаться вопросом: «Почему я слышу об этом только сейчас?» Bitdefender и Wyze серьезно относятся к безопасности пострадавших пользователей. Зная, что мы активно работаем над снижением рисков и корректирующими обновлениями, мы вместе пришли к выводу, что безопаснее быть осмотрительным в деталях, пока уязвимости не будут исправлены.
К сожалению, несмотря на обширные усилия, предпринятые в 2022 году, мы обнаружили, что Wyze Cam v1 (последняя версия была продана в марте 2018 года) не поддерживает необходимые обновления безопасности. Ограниченная память камеры, которая побудила нас создать Wyze Cam v2, напрямую не позволила исправить эти проблемы в этом продукте. Мы были прозрачны с нашими клиентами и сообщили о нашей неспособности продолжать предлагать необходимые обновления безопасности в электронном письме, объявляющем об окончании срока службы (EOL) для этого продукта. Из соображений безопасности мы снова решили сохранять осмотрительность в отношении конкретной причины, по которой до сих пор ограничивали риск для всех наших затронутых пользователей в затронутых моделях. Мы настоятельно рекомендуем нашим клиентам больше не использовать продукты EOL, поскольку безопасность и другие критические обновления больше не предоставляются, и мы по-прежнему призываем владельцев Wyze Cam v1 прекратить использование этих продуктов.
Выбор технологии для защиты вашего дома и ваших близких — это важное решение. Наш путь к тому, чтобы сделать отличные технологии доступными для всех, продолжается, и мы стремимся предоставить надежный и безопасный опыт для всех.
Если у кого-то есть вопросы или опасения по поводу безопасности Wyze, напишите в нашу службу безопасности напрямую по адресу security@wyze.com.

Обновлено 4 апреля 2022 г., чтобы добавить официальный ответ от Wyze.

Источник записи: techhive.com
Вам также может понравиться Больше от автора

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы предполагаем, что вы согласны с этим, но вы можете отказаться, если хотите. Принимаю Подробнее