Wyze покинул камеры безопасности, открытые для взлома три года

Wyze сделал свое название, предлагающее способные продукты для домашних обеспечений для поразительно низких цен. Принимая во внимание, что вы могли бы заплатить 200 долларов за камеру безопасности Google Nest, Wyze предлагает устройства, которые почти настолько хороши для буквально одной десятой цены. Оказывается, что камера безопасности $ 20 на вашей полке не может быть такая хорошая сделка. Новое раскрытие от Security Firm BitDefender показывает, что камеры компании имели основную уязвимость безопасности, которые могут позволить злоумышленнику удаленно получить доступ к вашему видео, и Wyze знал об этом в течение трех лет. Кроме того, Wyze V1 все еще сломан и не будет исправлен. Это почти не говорит, но если у вас есть Wyze V1, избавьтесь от него.

В отличие от Google, Ring или других производителей популярных камер безопасности, Wyze не делает собственное оборудование. Он повторно ориентирован на продукты из Китая с новой прошивкой и поддержкой приложения. Он предлагает дешевые камеры безопасности, но также робот вакуум, наушники, умные весы, SmartWatches и многое другое. Они все цены ниже конкурирующих продуктов и вообще не так хороши. Но эй, камера безопасности 20 долларов? Wyze продал их бодовую нагрузку.

Вопрос заключается в том, как камеры используют свое внутреннее хранилище карта MicroSD. Камера создает Symlink в каталоге WWW, давая веб-серверу прямой доступ к видео, хранящимся на камере, чтобы вы могли их транслировать в свое приложение. Тем не менее, Wyze реализовал никаких ограничений доступа в этой системе, и это означает, что злоумышленник может использовать пару уязвимостей для сбора UID (уникальный идентификационный номер) и ENR (ключ шифрования AES). В этот момент они могут получить доступ к вашей камере, как будто они были вами.

Ответ Уица на это было недостаточно. Это тихо прекратило камеру V1 в начале этого года, и она исправила новые версии. Он сказал, что продолжение использования оригинального CAM нести «повышенный риск». Это ничего не сказала о риске использования его в течение последних трех лет с ямальной дырой безопасности. Новые камеры V2 и V3 были исправлены, чтобы заблокировать эксплойт.

Мы привыкли к дефектам безопасности и / или раскрыты в относительно короткий порядок, обычно измеряются в течение недель или месяцев. Но три года? BitDefender изначально потянулся к Wyze в марте 2019 года, и он не слышал до 2020 года. Согласно грани, битделендер дал Уизе некоторое свободное место из-за серьезности ошибки и медленного прогресса Уэйца в отношении крепления его. У Wyze даже не имел никакой структуры безопасности для устранения таких ошибок до 2021 года.

Но в конце концов, это камера безопасности 20 долларов - не главная инвестиция. Это тот, который я фактически использовал в прошлом, и я бы ценил, зная, что он широко открыт для удаленной эксплуатации. Я бы радостно зашил его в переработке без колебаний. Что касается более новых продуктов Wyze, которые предположительно безопасно, я достаточно скептически, что я не буду подключать их вообще. Wyze обязан своим клиентам извинения.

Читать далее

Wyze покинул камеры безопасности, открытые для взлома три года

Читать далее

Кто-то взломал трассировку лучей в SNES

Apple призывает немедленно обновить iPhone, чтобы заблокировать активные онлайн-взломы

Основатель сигналов хакает инструменты взлома телефонов Cellebrete

Владельцы прибегают к взлому умные беговые дорожки после того, как NordicTrack заблокируют их