Wyze покинул камеры безопасности, открытые для взлома три года

Wyze покинул камеры безопасности, открытые для взлома три года

Wyze сделал свое название, предлагающее способные продукты для домашних обеспечений для поразительно низких цен. Принимая во внимание, что вы могли бы заплатить 200 долларов за камеру безопасности Google Nest, Wyze предлагает устройства, которые почти настолько хороши для буквально одной десятой цены. Оказывается, что камера безопасности $ 20 на вашей полке не может быть такая хорошая сделка. Новое раскрытие от Security Firm BitDefender показывает, что камеры компании имели основную уязвимость безопасности, которые могут позволить злоумышленнику удаленно получить доступ к вашему видео, и Wyze знал об этом в течение трех лет. Кроме того, Wyze V1 все еще сломан и не будет исправлен. Это почти не говорит, но если у вас есть Wyze V1, избавьтесь от него.

В отличие от Google, Ring или других производителей популярных камер безопасности, Wyze не делает собственное оборудование. Он повторно ориентирован на продукты из Китая с новой прошивкой и поддержкой приложения. Он предлагает дешевые камеры безопасности, но также робот вакуум, наушники, умные весы, SmartWatches и многое другое. Они все цены ниже конкурирующих продуктов и вообще не так хороши. Но эй, камера безопасности 20 долларов? Wyze продал их бодовую нагрузку.

Вопрос заключается в том, как камеры используют свое внутреннее хранилище карта MicroSD. Камера создает Symlink в каталоге WWW, давая веб-серверу прямой доступ к видео, хранящимся на камере, чтобы вы могли их транслировать в свое приложение. Тем не менее, Wyze реализовал никаких ограничений доступа в этой системе, и это означает, что злоумышленник может использовать пару уязвимостей для сбора UID (уникальный идентификационный номер) и ENR (ключ шифрования AES). В этот момент они могут получить доступ к вашей камере, как будто они были вами.

Ответ Уица на это было недостаточно. Это тихо прекратило камеру V1 в начале этого года, и она исправила новые версии. Он сказал, что продолжение использования оригинального CAM нести «повышенный риск». Это ничего не сказала о риске использования его в течение последних трех лет с ямальной дырой безопасности. Новые камеры V2 и V3 были исправлены, чтобы заблокировать эксплойт.

Wyze покинул камеры безопасности, открытые для взлома три года

Мы привыкли к дефектам безопасности и / или раскрыты в относительно короткий порядок, обычно измеряются в течение недель или месяцев. Но три года? BitDefender изначально потянулся к Wyze в марте 2019 года, и он не слышал до 2020 года. Согласно грани, битделендер дал Уизе некоторое свободное место из-за серьезности ошибки и медленного прогресса Уэйца в отношении крепления его. У Wyze даже не имел никакой структуры безопасности для устранения таких ошибок до 2021 года.

Но в конце концов, это камера безопасности 20 долларов - не главная инвестиция. Это тот, который я фактически использовал в прошлом, и я бы ценил, зная, что он широко открыт для удаленной эксплуатации. Я бы радостно зашил его в переработке без колебаний. Что касается более новых продуктов Wyze, которые предположительно безопасно, я достаточно скептически, что я не буду подключать их вообще. Wyze обязан своим клиентам извинения.

Читать далее

Ученые наконец-то могут изучить эйнштейний через 69 лет после его открытия
Ученые наконец-то могут изучить эйнштейний через 69 лет после его открытия

В остатках атомных взрывов ученые обнаружили невиданные ранее элементы, такие как эйнштейний. Теперь, спустя почти 70 лет после его открытия, ученые собрали достаточно эйнштейния, чтобы провести базовый анализ.

BiDen Taps Jessica RosenWorcel As Centre FCC, открытие пути к восстановлению чистой нейтральности
BiDen Taps Jessica RosenWorcel As Centre FCC, открытие пути к восстановлению чистой нейтральности

Байден номинировал, действуя на ФКС-кафедру Джессика Розенвол, чтобы официально взять на себя эту роль. Он также назначил активист Gigi Sohn, чтобы заполнить открытое место. После подтверждения того, что новый комиссар даст FCC, что ему нужно снова решить чистый нейтралитет.

Моддер открытых источников iPhone USB-C мод
Моддер открытых источников iPhone USB-C мод

Если бы вы надеялись, что это так же просто, как бурение отверстия и пайки нескольких проводов, вы находитесь для разочарования.

NVIDIA объявляет масштабирование изображения с открытым исходным кодом, новые DLSS и бесплатный инструмент I
NVIDIA объявляет масштабирование изображения с открытым исходным кодом, новые DLSS и бесплатный инструмент I

Это большой день новостей для NVIDIA, так как компания развязала заграждение обновленного программного обеспечения, включая некоторые бесплатные инструменты.