Wyze залишили камери безпеки, відкриті для хакерства протягом трьох років
Wyze зробив своє ім'я, що пропонує можливість домашніх продуктів безпеки для вражаючих низьких цін. Оскільки ви можете заплатити $ 200 за камеру безпеки Google Nest, Wyze пропонує пристрої, які майже такі хороші для буквально однієї десятої ціни. Виявляється, що $ 20 охоронної камери на вашій полиці може не бути такою гарною угодою. Нове розкриття від фірми безпеки BitDefender показує, що камери компанії мали серйозну вразливість безпеки, яка може дозволити зловмисленню дистанційно отримувати доступ до вашого відео, а WIZZE знає про це три роки. Плюс, Wyze V1 все ще зламаний і не буде виправлений. Це майже йде без кажучи, але якщо у вас є wyze v1 навколо, позбутися від нього.
На відміну від Google, Ring або інших виробників популярних камер безпеки Wyze не створює власного обладнання. Він повторно значить продукти з Китаю з новою прошивкою та підтримкою додатків. Він пропонує дешеві теапарії безпеки, але також роботові вакууми, навушники, розумні ваги, смарт-годинники та багато іншого. Вони всі ціни під конкуруючими продуктами, і взагалі не зовсім так само добре. Але ей, до $ 20 безпеки камери? Wyze продавав їх навантаження.
Питання полягає в тому, як камери використовують свою внутрішню картку MicroSD. Камера створює Symlink у каталозі WWW, що надає веб-серветку, який прямий доступ до відео, що зберігаються на камері, щоб ви могли потік до вашої програми. Однак Wyze здійснив жодних обмежень доступу в цій системі, і це означає, що зловмисник може використовувати пару вразливостей для збору UID (унікальний ідентифікаційний номер) та ENR (AES шифрування ключа). У той момент вони можуть отримати доступ до вашої камери, як якщо б ви були.
Відповідь WYZE на це було недостатньо. Це спокійно припинило камеру V1 рано в цьому році, і він виправив нові версії. Він сказав, що продовження використання оригінальної камери переноситься "підвищений ризик". Це нічого не сказало про ризик використання його протягом останніх трьох років з отвором безпеки. Нові камери V2 та V3 були виправлені, щоб заблокувати експлуатацію.
Ми звикли до залишкових недоліків безпеки та / або розкриваються у відносно короткому порядку, зазвичай вимірюються протягом декількох тижнів або місяців. Але три роки? BitDefender спочатку звернувся до Wyze у березні 2019 року, і це не почуло до 20 листопада. Згідно з межею, BitDefender дав Wyze деякий Leeway через тяжкість повільного прогресу ім. Буми та Wyze до фіксації. Wyze навіть не мав структури безпеки на місці для вирішення помилок, як це до 2021 року.
Але в кінці дня це - 20 доларів США - не основні інвестиції. Це той, що я насправді використовував у минулому, і я хотів би зрозуміти, що він широко відкритий для віддаленої експлуатації. Я би щасливо кинув це в переробці без коливань мить. Що стосується нових продуктів WYZE, які нібито безпечні, я досить скептично, щоб я взагалі не підключав їх. Wyze зобов'язаний своїм клієнтам вибачення.
Читати далі
Слабке програмне забезпечення Sennheiser виводить користувачів, які мають хакерство
Sennheiser випустив патч для програмного забезпечення, але, схоже, він не сприймає тяжкість загвинчування.