Wyze покинул камеры безопасности, открытые для взлома три года

Wyze покинул камеры безопасности, открытые для взлома три года

Wyze сделал свое название, предлагающее способные продукты для домашних обеспечений для поразительно низких цен. Принимая во внимание, что вы могли бы заплатить 200 долларов за камеру безопасности Google Nest, Wyze предлагает устройства, которые почти настолько хороши для буквально одной десятой цены. Оказывается, что камера безопасности $ 20 на вашей полке не может быть такая хорошая сделка. Новое раскрытие от Security Firm BitDefender показывает, что камеры компании имели основную уязвимость безопасности, которые могут позволить злоумышленнику удаленно получить доступ к вашему видео, и Wyze знал об этом в течение трех лет. Кроме того, Wyze V1 все еще сломан и не будет исправлен. Это почти не говорит, но если у вас есть Wyze V1, избавьтесь от него.

В отличие от Google, Ring или других производителей популярных камер безопасности, Wyze не делает собственное оборудование. Он повторно ориентирован на продукты из Китая с новой прошивкой и поддержкой приложения. Он предлагает дешевые камеры безопасности, но также робот вакуум, наушники, умные весы, SmartWatches и многое другое. Они все цены ниже конкурирующих продуктов и вообще не так хороши. Но эй, камера безопасности 20 долларов? Wyze продал их бодовую нагрузку.

Вопрос заключается в том, как камеры используют свое внутреннее хранилище карта MicroSD. Камера создает Symlink в каталоге WWW, давая веб-серверу прямой доступ к видео, хранящимся на камере, чтобы вы могли их транслировать в свое приложение. Тем не менее, Wyze реализовал никаких ограничений доступа в этой системе, и это означает, что злоумышленник может использовать пару уязвимостей для сбора UID (уникальный идентификационный номер) и ENR (ключ шифрования AES). В этот момент они могут получить доступ к вашей камере, как будто они были вами.

Ответ Уица на это было недостаточно. Это тихо прекратило камеру V1 в начале этого года, и она исправила новые версии. Он сказал, что продолжение использования оригинального CAM нести «повышенный риск». Это ничего не сказала о риске использования его в течение последних трех лет с ямальной дырой безопасности. Новые камеры V2 и V3 были исправлены, чтобы заблокировать эксплойт.

Wyze покинул камеры безопасности, открытые для взлома три года

Мы привыкли к дефектам безопасности и / или раскрыты в относительно короткий порядок, обычно измеряются в течение недель или месяцев. Но три года? BitDefender изначально потянулся к Wyze в марте 2019 года, и он не слышал до 2020 года. Согласно грани, битделендер дал Уизе некоторое свободное место из-за серьезности ошибки и медленного прогресса Уэйца в отношении крепления его. У Wyze даже не имел никакой структуры безопасности для устранения таких ошибок до 2021 года.

Но в конце концов, это камера безопасности 20 долларов - не главная инвестиция. Это тот, который я фактически использовал в прошлом, и я бы ценил, зная, что он широко открыт для удаленной эксплуатации. Я бы радостно зашил его в переработке без колебаний. Что касается более новых продуктов Wyze, которые предположительно безопасно, я достаточно скептически, что я не буду подключать их вообще. Wyze обязан своим клиентам извинения.

Читать далее

Лучшие системы безопасности умного дома
Лучшие системы безопасности умного дома

Когда-то являвшиеся нишевым бизнесом с несколькими традиционными игроками и несколькими стартапами, системы домашней безопасности теперь являются основным полем битвы не только для охранных компаний, но и для нескольких интернет-гигантов. Мы собрали самые популярные варианты на 2020 год.

Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows
Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows

Intel, AMD и Qualcomm работают над тем, чтобы сделать Pluton частью своих будущих проектов, что должно сделать ПК более трудным для взлома, но также встроит технологию Microsoft в ваше оборудование.

Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.
Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.

SolarWinds, компания, оказавшаяся в центре массового взлома правительственных учреждений и корпораций США, не совсем использует передовые методы паролей.

Приложение для обмена файлами с миллиардом загрузок имеет серьезный недостаток безопасности
Приложение для обмена файлами с миллиардом загрузок имеет серьезный недостаток безопасности

Trend Micro заявляет, что SHAREit - это кошмар безопасности, который может позволить злоумышленникам украдкой взглянуть на ваши данные или даже установить вредоносное ПО. Пожалуй, самое тревожное, что разработчики не ответили на предупреждения Trend Micro.