Wyze залишили камери безпеки, відкриті для хакерства протягом трьох років
Wyze зробив своє ім'я, що пропонує можливість домашніх продуктів безпеки для вражаючих низьких цін. Оскільки ви можете заплатити $ 200 за камеру безпеки Google Nest, Wyze пропонує пристрої, які майже такі хороші для буквально однієї десятої ціни. Виявляється, що $ 20 охоронної камери на вашій полиці може не бути такою гарною угодою. Нове розкриття від фірми безпеки BitDefender показує, що камери компанії мали серйозну вразливість безпеки, яка може дозволити зловмисленню дистанційно отримувати доступ до вашого відео, а WIZZE знає про це три роки. Плюс, Wyze V1 все ще зламаний і не буде виправлений. Це майже йде без кажучи, але якщо у вас є wyze v1 навколо, позбутися від нього.
На відміну від Google, Ring або інших виробників популярних камер безпеки Wyze не створює власного обладнання. Він повторно значить продукти з Китаю з новою прошивкою та підтримкою додатків. Він пропонує дешеві теапарії безпеки, але також роботові вакууми, навушники, розумні ваги, смарт-годинники та багато іншого. Вони всі ціни під конкуруючими продуктами, і взагалі не зовсім так само добре. Але ей, до $ 20 безпеки камери? Wyze продавав їх навантаження.
Питання полягає в тому, як камери використовують свою внутрішню картку MicroSD. Камера створює Symlink у каталозі WWW, що надає веб-серветку, який прямий доступ до відео, що зберігаються на камері, щоб ви могли потік до вашої програми. Однак Wyze здійснив жодних обмежень доступу в цій системі, і це означає, що зловмисник може використовувати пару вразливостей для збору UID (унікальний ідентифікаційний номер) та ENR (AES шифрування ключа). У той момент вони можуть отримати доступ до вашої камери, як якщо б ви були.
Відповідь WYZE на це було недостатньо. Це спокійно припинило камеру V1 рано в цьому році, і він виправив нові версії. Він сказав, що продовження використання оригінальної камери переноситься "підвищений ризик". Це нічого не сказало про ризик використання його протягом останніх трьох років з отвором безпеки. Нові камери V2 та V3 були виправлені, щоб заблокувати експлуатацію.
Ми звикли до залишкових недоліків безпеки та / або розкриваються у відносно короткому порядку, зазвичай вимірюються протягом декількох тижнів або місяців. Але три роки? BitDefender спочатку звернувся до Wyze у березні 2019 року, і це не почуло до 20 листопада. Згідно з межею, BitDefender дав Wyze деякий Leeway через тяжкість повільного прогресу ім. Буми та Wyze до фіксації. Wyze навіть не мав структури безпеки на місці для вирішення помилок, як це до 2021 року.
Але в кінці дня це - 20 доларів США - не основні інвестиції. Це той, що я насправді використовував у минулому, і я хотів би зрозуміти, що він широко відкритий для віддаленої експлуатації. Я би щасливо кинув це в переробці без коливань мить. Що стосується нових продуктів WYZE, які нібито безпечні, я досить скептично, щоб я взагалі не підключав їх. Wyze зобов'язаний своїм клієнтам вибачення.
Читати далі
Дослідник безпеки: "solarwinds123" Пароль, що залишив фірму вразливою у 2019 році
SolarWinds, компанія в центрі масового злому, який вразив урядові установи та корпорації США, точно не використовує передові методи паролів.
«Міні-місяць» Землі ось-ось залишить нас назавжди
За словами астрономів, найновіший штучний супутник Землі ось-ось стане колишнім супутником, оскільки він готується зануритися в чорнильну темноту космосу.
Порожня підвищеного ПК та ігрового монітора тут, щоб залишитися, дослідницькі шоу
Він не збирається легше знайти свій ідеальний монітор або частину ПК на складі.
Дартс -ремесло NASA може залишити астероїд "невпізнаваним": вивчення
З діаметром всього 560 футів (170 метрів) NASA очікував, що ударник Dart 500 кілограм покине кратер і вплине на орбіту супутника навколо більшого дидимосу. Не так, говорить нове дослідження.