Примечание. Следующая статья поможет вам: У вас была серьезная уязвимость в ваших камерах Wyze в течение 3…
Сообщается, что Wyze наконец удалось исправить серьезную уязвимость в своих камерах почти через три года после того, как она была впервые обнаружена. Рассматриваемый недостаток относился к методу аутентификации, используемому для подключения к камерам Wyze. И эффективно позволял неавторизованным пользователям включать и выключать камеры, отключать записи на SD-карту и даже управлять действиями панорамирования или наклона на совместимых устройствах.
Хуже того, при реализации еще одного эксплойта, использующего переполнение буфера на основе стека, камеры были уязвимы для просмотра прямой трансляции. А также просмотр записей с SD-карты. Должны ли они иметь доступ к вашим умным домашним устройствам или нет.
В чем заключалась уязвимость?
Итак, рассматриваемая уязвимость была, как уже отмечалось, в самом процессе аутентификации. Как сообщила команда Bitdefender, ответственная за поиск уязвимости, ее удалось обойти. Это, в свою очередь, давало доступ к элементам управления камерой, но не к прямой трансляции.
Проблема сделала просмотр возможным только с помощью вторичной меры. По сути, сочетание переполнения буфера на основе стека с методом обхода. Предоставление доступа к вышеупомянутым элементам управления, а также к видеозаписям в прямом эфире и кадрам с SD-карты через несанкционированное подключение к соответствующему веб-серверу.
Почему Wyze так долго исправила эту уязвимость в своих камерах и все ли теперь в безопасности?
Менее очевидно, конечно, почему Wyze потребовалось так много времени, чтобы исправить недостаток безопасности своих камер. Bitdefender сообщил об уязвимости Wyze еще в марте 2019 года.
Стандартная практика обнаружения уязвимостей в системе безопасности — сообщать о них компании. Затем охранные фирмы обычно ждут в течение 90 дней, прежде чем публиковать результаты. Предоставление компании времени на то, чтобы разобраться с исправлением и внедрить его для подавляющего большинства своей пользовательской базы. Wyze только что исправила уязвимость, позволив опубликовать вышеупомянутую белую книгу в январе 2022 года.
Это несоответствие во времени между обнаружением и исправлением прямо противоречит сообщениям компании о том, насколько безопасны ее продукты.
Более того, вероятно, отчасти из-за ожидания, обновление не устранит проблему для всех. Wyze не устранила связанные уязвимости для Wyze Cam первого поколения. И никаких дальнейших обновлений для устройства не планируется, так как поддержка закончилась в феврале. Пользователям этих устройств потребуется перейти на новое устройство, чтобы избавиться от проблемы. Даже если это означает только обновление до более новой камеры Wyze.