Wyze має розповісти про недоліки безпеки Wyze Cam

Коли наприкінці січня компанія Wyze оголосила про припинення виробництва оригінальної камери Wyze Cam лише через кілька днів, вона назвала цей крок святкуванням, зайшовши настільки далеко, що заявивши, що камера «завжди займатиме особливе місце в наших серцях».

Але незважаючи на те, що Wyze пообіцяла, що «ви все ще можете використовувати свою Wyze Cam v1» після завершення терміну служби 1 лютого, компанія зловісно додала — і лише у виносці — що «ваше продовження використання Wyze Cam v1 після 1 лютого 2022 року пов’язане з підвищеним ризиком, Wyze не рекомендує, і це відбувається виключно на ваш власний ризик».

У той час раптова заява Wyze прозвучала трохи, ну, не так. Тепер, здається, ми знаємо чому. 

Раніше цього тижня компанія з кібербезпеки Bitdefender виявила (як вперше повідомив BleepingComputer ), що вона раніше, як і три роки тому, виявила три серйозні вразливості Wyze Cam, одна з яких дозволила зловмисникам отримати доступ до даних на SD камері. картку, включаючи записане відео.

Bitdefender каже, що спочатку попереджав Wyze про недоліки в березні 2019 року. Перші дві помилки було виправлено у вересні 2019 року та листопаді 2020 року, але недолік SD-карти залишався невиправленим до 29 січня 2022 року, і лише Wyze Cam v2 і v3 отримали виправлення., залишаючи оригінальну камеру Wyze Cam вразливою до пробоїни в безпеці.

Оголошуючи, що Wyze Cam v1 «припиняє використання», Wyze сказав, що це тому, що камера «більше не може підтримувати необхідне оновлення безпеки». Озираючись назад, здається, що оновлення, на яке посилався Wyze, було виправленням уразливості SD-карти, яке отримали Wyze Cam v2 і v3.

Я ще не отримав відповіді від Wyze щодо звіту Bitdefender, але в заяві для BleepingComputer представник Wyze сказав:

У Wyze ми дуже цінуємо довіру наших користувачів до нас і серйозно ставимося до всіх питань безпеки.

Ми постійно оцінюємо безпеку наших систем і вживаємо відповідних заходів для захисту конфіденційності наших клієнтів. Ми вдячні Bitdefender за відповідальне розкриття цих вразливостей. Ми працювали з Bitdefender і виправляли проблеми безпеки в наших підтримуваних продуктах. Ці оновлення вже розгорнуто в наших останніх оновленнях програми та мікропрограми.

Це все добре, але це не відповідає на запитання, чому Wyze просто не пояснив уразливість SD-карти в оригінальній Wyze Cam без виправлень і чітко не попередив користувачів про ризики.

Одна мудра жінка в технологічному секторі якось сказала мені: «Ми не продаємо зубну пасту; ми продаємо довіру». Що ж, зараз Wyze зіткнувся з серйозною прогалиною в довірі, і це потрібно виправити. Мабуть, теж доречно вибачитися.

Оновлення: Wyze надіслав мені посилання на свою офіційну відповідь увечері після публікації цієї історії. Повний текст наведено нижче.

У Wyze ми дуже цінуємо довіру наших користувачів до нас і серйозно ставимося до всіх питань безпеки.
Ми постійно оцінюємо безпеку наших систем і вживаємо відповідних заходів для захисту конфіденційності наших клієнтів. Ми вдячні Bitdefender за відповідальне розкриття цих вразливостей і працювали безпосередньо з ними, щоб виправити проблеми безпеки в підтримуваних нами продуктах до публічного звіту.
Спочатку ми хотіли б повідомити нашим користувачам, що ці вразливості вимагають певної форми доступу до локальної мережі. Отже, щоб ці вразливості можна було використати дистанційно, вам довелося б наражати свою локальну мережу або безпосередньо на зловмисника, або на Інтернет загалом (будьте впевнені, ви не повинні і, ймовірно, не маєте подібних налаштувань).
Як повідомляв Bitdefender у своїй шкалі часу, ми випустили перший патч протягом місяця після нашого сповіщення, і з часом ми продовжували зменшувати ризик цих експлойтів за допомогою додаткових патчів у наступні місяці. Ми виправили ці проблеми та більше не вважаємо їх триваючими після випуску останніх критичних оновлень безпеки для останньої локальної вразливості, знайденої у звіті, у лютому 2022 року. Хоча ми швидко розпочали розробку, ми хочемо реагувати швидше в майбутньому. і досягли значного прогресу в нашій інфраструктурі безпеки, включаючи наймання команди відданих інженерів безпеки для роботи виключно над реагуванням на події безпеки та посиленням захисту наших користувачів.
Ви можете запитати: «Чому я чую про це лише зараз?» Bitdefender і Wyze серйозно ставляться до безпеки постраждалих користувачів. Знаючи, що ми активно працюємо над зменшенням ризиків і виправленням оновлень, ми разом дійшли висновку, що найбезпечніше бути обережним щодо деталей, доки не буде усунено вразливості.
На жаль, незважаючи на значні зусилля, що тривали до 2022 року, ми виявили, що Wyze Cam v1 (востаннє продано в березні 2018 року) не підтримує необхідні оновлення безпеки. Обмежена пам’ять камери, яка спонукала нас створити Wyze Cam v2, безпосередньо завадила виправленню цих проблем у цьому продукті. Ми були прозорими з нашими клієнтами та повідомили про свою неспроможність продовжувати пропонувати необхідні оновлення безпеки в електронному листі, в якому повідомлялося про закінчення терміну служби (EOL) цього продукту. З міркувань безпеки ми знову вирішили залишатися обережними щодо конкретної причини, чому до цього часу ми обмежили ризик для всіх наших постраждалих користувачів у постраждалих моделях. Ми настійно рекомендуємо нашим клієнтам більше не використовувати продукти EOL, оскільки оновлення безпеки та інші важливі оновлення більше не надаються, і ми продовжуємо закликати власників Wyze Cam v1 припинити використання цих продуктів.
Вибір технології для захисту вашого дому та ваших близьких є важливим рішенням. Наша подорож до того, щоб зробити чудові технології доступними для всіх, продовжується, і ми прагнемо забезпечити надійний і безпечний досвід для всіх.
Якщо хтось має запитання чи сумніви щодо безпеки Wyze, будь ласка, надішліть електронного листа нашій команді безпеки безпосередньо на security@wyze.com.

Оновлено 4 квітня 2022 року, щоб додати офіційну відповідь від Wyze.