Wij zijn uw betrouwbare bron van smart home technologie advies! Ontvang de nieuwste informatie over beoordelingen en kooptips, leer meer over de nieuwste technologieën. Creëer een slimmere leefruimte - dankzij smartech!
HaussicherheitIntelligente AssistentenIntelligentes Zuhause

Wyze muss die Sicherheitslücken der Wyze Cam klären

13

Als Wyze Ende Januar ankündigte, dass es die ursprüngliche Wyze Cam nur wenige Tage später einstellen würde, kleidete es den Umzug in eine Feier und ging so weit zu sagen, dass die Kamera „immer einen besonderen Platz in unseren Herzen einnehmen wird“.

Aber selbst als Wyze versprach, dass „Sie Ihre Wyze Cam v1 nach dem bevorstehenden End-of-Life-Datum am 1. Februar immer noch verwenden können“, fügte das Unternehmen ominös – und nur in einer Fußnote – hinzu, dass „Ihre fortgesetzte Verwendung der Wyze Cam v1 danach Der 1. Februar 2022 birgt ein erhöhtes Risiko, wird von Wyze abgeraten und erfolgt ausschließlich auf Ihr eigenes Risiko.“

Zu der Zeit klang etwas an Wyzes plötzlicher Ankündigung etwas, naja, seltsam. Jetzt scheinen wir zu wissen, warum. 

Anfang dieser Woche gab das Cybersicherheitsunternehmen Bitdefender bekannt (wie erstmals von BleepingComputer berichtet ), dass es zuvor – wie vor drei Jahren – ein Trio schwerwiegender Schwachstellen in der Wyze Cam entdeckt hatte, von denen eine Angreifern den Zugriff auf die Daten auf der SD der Kamera ermöglicht hätte Karte, einschließlich aufgezeichnetem Videomaterial.

Bitdefender sagt, es habe Wyze zunächst im März 2019 vor den Fehlern gewarnt. Die ersten beiden Fehler wurden im September 2019 und November 2020 gepatcht, aber der SD-Kartenfehler blieb bis zum 29. Januar 2022 ungepatcht, und nur die Wyze Cam v2 und v3 erhielten die Lösung, wodurch die ursprüngliche Wyze Cam anfällig für die Sicherheitslücke bleibt.

Als Wyze ankündigte, dass die Wyze Cam v1 „aus dem Verkehr gezogen“ werde, sagte Wyze, dies liege daran, dass die Kamera „ein notwendiges Sicherheitsupdate nicht mehr unterstützen kann“. Rückblickend klingt es sicher so, als wäre das Update, auf das sich Wyze bezog, der SD-Karten-Schwachstellen-Patch, den die Wyze Cam v2 und v3 erhalten haben.

Ich habe noch keine Antwort von Wyze über den Bitdefender-Bericht gehört, aber in einer Erklärung gegenüber BleepingComputer sagte ein Vertreter von Wyze:

Wir bei Wyze legen großen Wert auf das Vertrauen unserer Benutzer in uns und nehmen alle Sicherheitsbedenken ernst.

Wir bewerten ständig die Sicherheit unserer Systeme und ergreifen geeignete Maßnahmen, um die Privatsphäre unserer Kunden zu schützen. Wir wissen die verantwortungsbewusste Offenlegung dieser Schwachstellen durch Bitdefender zu schätzen. Wir haben mit Bitdefender zusammengearbeitet und die Sicherheitsprobleme in unseren unterstützten Produkten gepatcht. Diese Updates sind bereits in unseren neuesten App- und Firmware-Updates implementiert.

Das ist alles schön und gut, beantwortet aber nicht die Frage, warum Wyze die SD-Karten-Schwachstelle in der ursprünglichen, ungepatchten Wyze Cam nicht einfach erklärt und Nutzer ausdrücklich vor den Risiken gewarnt hat.

Eine weise Frau aus dem Technologiesektor sagte mir einmal: „Wir verkaufen keine Zahnpasta; Wir verkaufen Vertrauen.“ Nun, Wyze steht jetzt vor einer ernsthaften Glaubwürdigkeitslücke und muss sauber werden. Eine Entschuldigung ist wahrscheinlich auch angebracht.

Update: Wyze hat mir am Abend nach der ursprünglichen Veröffentlichung dieser Geschichte einen Link zu seiner offiziellen Antwort geschickt. Der vollständige Text ist unten enthalten.

Wir bei Wyze legen großen Wert auf das Vertrauen unserer Benutzer in uns und nehmen alle Sicherheitsbedenken ernst.
Wir bewerten ständig die Sicherheit unserer Systeme und ergreifen geeignete Maßnahmen, um die Privatsphäre unserer Kunden zu schützen. Wir schätzen die verantwortungsbewusste Offenlegung dieser Schwachstellen durch Bitdefender und haben direkt mit ihnen zusammengearbeitet, um die Sicherheitsprobleme in unseren unterstützten Produkten vor der öffentlichen Meldung zu beheben.
Zunächst möchten wir unsere Benutzer darüber informieren, dass diese Schwachstellen eine Form des lokalen Netzwerkzugriffs erfordern. Sie müssten also Ihr lokales Netzwerk entweder direkt dem Angreifer oder dem Internet im Allgemeinen aussetzen, damit diese Schwachstellen aus der Ferne ausgenutzt werden können (seien Sie versichert, dass Sie ein solches Setup nicht haben sollten und wahrscheinlich auch nicht haben werden).
Wie Bitdefender in seiner Chronik berichtete, haben wir den ersten Patch im Monat nach unserer Benachrichtigung herausgegeben, und im Laufe der Zeit haben wir das Risiko dieser Exploits mit zusätzlichen Patches in den folgenden Monaten weiter verringert. Wir haben diese Probleme behoben und betrachten dies nach der Veröffentlichung der letzten kritischen Sicherheitsupdates für die letzte der im Bericht gefundenen lokalen Schwachstellen im Februar 2022 nicht mehr als andauernd. Obwohl wir schnell mit der Entwicklung begonnen haben, möchten wir in Zukunft schneller reagieren und haben bedeutende Fortschritte in unserer Sicherheitsinfrastruktur gemacht, einschließlich der Einstellung eines Teams engagierter Sicherheitsingenieure, die ausschließlich an Reaktionen auf Sicherheitsereignisse arbeiten und den Schutz für unsere Benutzer verbessern.
Sie fragen sich vielleicht: „Warum höre ich das erst jetzt?“ Sowohl Bitdefender als auch Wyze nehmen die Sicherheit betroffener Benutzer ernst. Da wir wussten, dass wir aktiv an Risikominderung und korrigierenden Updates arbeiteten, kamen wir gemeinsam zu dem Schluss, dass es am sichersten ist, die Details sorgfältig zu behandeln, bis die Schwachstellen behoben sind.
Leider haben wir trotz umfangreicher Bemühungen bis ins Jahr 2022 festgestellt, dass Wyze Cam v1 (zuletzt im März 2018 verkauft) die erforderlichen Sicherheitsupdates nicht unterstützen konnte. Der begrenzte Kameraspeicher, der uns veranlasste, Wyze Cam v2 zu erstellen, verhinderte direkt das Patchen dieser Probleme auf diesem Produkt. Wir waren gegenüber unseren Kunden transparent und haben unsere Unfähigkeit, weiterhin notwendige Sicherheitsupdates anzubieten, in einer E-Mail offengelegt, in der das Ende der Lebensdauer (EOL) für dieses Produkt angekündigt wurde. Aus Sicherheitsgründen haben wir uns erneut dafür entschieden, den konkreten Grund bis jetzt vorsichtig zu behandeln, um das Risiko für alle unsere betroffenen Benutzer bei allen betroffenen Modellen zu begrenzen. Wir empfehlen unseren Kunden dringend, keine EOL-Produkte mehr zu verwenden, da Sicherheits- und andere wichtige Updates nicht mehr bereitgestellt werden, und wir fordern Besitzer von Wyze Cam v1 weiterhin auf, die Verwendung dieser Produkte einzustellen.
Die Auswahl einer Technologie zum Schutz Ihres Zuhauses und Ihrer Lieben ist eine große Entscheidung. Unser Weg, großartige Technologie für alle zugänglich zu machen, geht weiter, und wir verpflichten uns, ein Erlebnis zu bieten, das für alle zuverlässig und sicher ist.
Wenn jemand Fragen oder Bedenken zur Wyze-Sicherheit hat, senden Sie bitte eine E-Mail direkt an unser Sicherheitsteam unter security@wyze.com.

Am 4. April 2022 aktualisiert, um eine offizielle Antwort von Wyze hinzuzufügen.

Aufnahmequelle: techhive.com
Das könnte dir auch gefallen Mehr vom Autor

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern. Wir gehen davon aus, dass Sie damit einverstanden sind, Sie können sich jedoch abmelden, wenn Sie möchten. Annehmen Weiterlesen