Wyze покинул камеры безопасности, открытые для взлома три года

Wyze покинул камеры безопасности, открытые для взлома три года

Wyze сделал свое название, предлагающее способные продукты для домашних обеспечений для поразительно низких цен. Принимая во внимание, что вы могли бы заплатить 200 долларов за камеру безопасности Google Nest, Wyze предлагает устройства, которые почти настолько хороши для буквально одной десятой цены. Оказывается, что камера безопасности $ 20 на вашей полке не может быть такая хорошая сделка. Новое раскрытие от Security Firm BitDefender показывает, что камеры компании имели основную уязвимость безопасности, которые могут позволить злоумышленнику удаленно получить доступ к вашему видео, и Wyze знал об этом в течение трех лет. Кроме того, Wyze V1 все еще сломан и не будет исправлен. Это почти не говорит, но если у вас есть Wyze V1, избавьтесь от него.

В отличие от Google, Ring или других производителей популярных камер безопасности, Wyze не делает собственное оборудование. Он повторно ориентирован на продукты из Китая с новой прошивкой и поддержкой приложения. Он предлагает дешевые камеры безопасности, но также робот вакуум, наушники, умные весы, SmartWatches и многое другое. Они все цены ниже конкурирующих продуктов и вообще не так хороши. Но эй, камера безопасности 20 долларов? Wyze продал их бодовую нагрузку.

Вопрос заключается в том, как камеры используют свое внутреннее хранилище карта MicroSD. Камера создает Symlink в каталоге WWW, давая веб-серверу прямой доступ к видео, хранящимся на камере, чтобы вы могли их транслировать в свое приложение. Тем не менее, Wyze реализовал никаких ограничений доступа в этой системе, и это означает, что злоумышленник может использовать пару уязвимостей для сбора UID (уникальный идентификационный номер) и ENR (ключ шифрования AES). В этот момент они могут получить доступ к вашей камере, как будто они были вами.

Ответ Уица на это было недостаточно. Это тихо прекратило камеру V1 в начале этого года, и она исправила новые версии. Он сказал, что продолжение использования оригинального CAM нести «повышенный риск». Это ничего не сказала о риске использования его в течение последних трех лет с ямальной дырой безопасности. Новые камеры V2 и V3 были исправлены, чтобы заблокировать эксплойт.

Wyze покинул камеры безопасности, открытые для взлома три года

Мы привыкли к дефектам безопасности и / или раскрыты в относительно короткий порядок, обычно измеряются в течение недель или месяцев. Но три года? BitDefender изначально потянулся к Wyze в марте 2019 года, и он не слышал до 2020 года. Согласно грани, битделендер дал Уизе некоторое свободное место из-за серьезности ошибки и медленного прогресса Уэйца в отношении крепления его. У Wyze даже не имел никакой структуры безопасности для устранения таких ошибок до 2021 года.

Но в конце концов, это камера безопасности 20 долларов - не главная инвестиция. Это тот, который я фактически использовал в прошлом, и я бы ценил, зная, что он широко открыт для удаленной эксплуатации. Я бы радостно зашил его в переработке без колебаний. Что касается более новых продуктов Wyze, которые предположительно безопасно, я достаточно скептически, что я не буду подключать их вообще. Wyze обязан своим клиентам извинения.

Читать далее

Обзор: Oculus Quest 2 может стать переломным моментом для массового внедрения VR
Обзор: Oculus Quest 2 может стать переломным моментом для массового внедрения VR

Oculus Quest 2 теперь доступен, и это улучшение по сравнению с оригиналом во всех отношениях. И все же это на 100 долларов дешевле, чем последний выпуск. Проведя некоторое время с Quest 2, я считаю, что мы можем оглянуться на него как на гарнитуру, которая наконец сделала VR доступной для массовых потребителей.

НАСА: астероид все еще может поразить Землю в 2068 году
НАСА: астероид все еще может поразить Землю в 2068 году

Согласно новому анализу Гавайского университета и Лаборатории реактивного движения НАСА, этот астероид размером с небоскреб все еще может столкнуться с Землей в 2068 году.

Intel представляет новые мобильные графические процессоры Xe Max для создателей контента начального уровня
Intel представляет новые мобильные графические процессоры Xe Max для создателей контента начального уровня

Intel выпустила новый потребительский мобильный графический процессор, но у него очень специфический вариант использования, по крайней мере, на данный момент.

Зонд "Вояджер-2" ведет переговоры с модернизированной сетью НАСА после 8 месяцев молчания
Зонд "Вояджер-2" ведет переговоры с модернизированной сетью НАСА после 8 месяцев молчания

НАСА только что поздоровалось с "Вояджером-2", и зонд сказал это в ответ.