Wyze hat Berichten zufolge fast drei Jahre nach ihrer ersten Entdeckung endlich dazu gekommen, eine schwerwiegende Sicherheitslücke in ihren Kameras zu beheben. Der fragliche Fehler betraf die Authentifizierungsmethode, die für die Verbindung zu Wyze-Kameras verwendet wurde. Und ermöglichte es nicht autorisierten Benutzern effektiv, Kameras ein-oder auszuschalten, SD-Kartenaufzeichnungen zu deaktivieren und sogar Schwenk-oder Neigeaktionen auf kompatiblen Geräten zu steuern.
Schlimmer noch, indem ein weiterer Exploit implementiert wurde, der einen Stapel verwendet Pufferüberlauf, die Kameras waren anfällig für die Anzeige von Live-Feeds. Sowie das Überprüfen von Aufnahmen von der SD-Karte. Ob sie Zugriff auf Ihre Smart-Home-Geräte haben sollten oder nicht.
Was war die Schwachstelle?
Nun, die fragliche Schwachstelle war – wie bereits erwähnt – eine in der Authentifizierung Prozess selbst. Wie von Bitdefender-Team, das für die Suche nach der Schwachstelle verantwortlich war, konnte diese umgangen werden. Das wiederum ermöglichte den Zugriff auf die Steuerung der Kamera, aber nicht auf den Live-Feed.
Werbung
Das Problem ermöglichte die Anzeige nur über eine sekundäre Maßnahme. Tatsächlich wird ein stapelbasierter Pufferüberlauf mit der Umgehungsmethode kombiniert. Bereitstellung des Zugriffs auf die oben genannten Steuerelemente und sowohl Live-Aufnahmen als auch SD-Kartenaufnahmen über eine nicht autorisierte Verbindung zum entsprechenden Webserver.
Wyze hat so lange gebraucht, um diese Sicherheitslücke in seinen Kameras zu beheben, und alles ist sicher jetzt?
Weniger sicher ist natürlich, warum es so lange gedauert hat, bis Wyze die Sicherheitslücke seiner Kameras behoben hat. Bitdefender hat Wyze die Schwachstelle bereits im März 2019 gemeldet.
Die Standardpraxis für einmal gefundene Sicherheitslücken besteht darin, sie dem Unternehmen zu melden. Sicherheitsfirmen warten dann in der Regel über einen Zeitraum von 90 Tagen, bevor sie Ergebnisse veröffentlichen. Dem Unternehmen Zeit geben, eine Lösung zu finden und sie für die überwältigende Mehrheit seiner Benutzerbasis zu implementieren. Wyze hat die Schwachstelle gerade erst behoben, was die Veröffentlichung des oben verlinkten Whitepapers im Januar 2022 ermöglichte.
Werbung
Diese zeitliche Diskrepanz zwischen der Entdeckung und einer Behebung steht in direktem Widerspruch zu seiner Botschaft, wie sicher es ist Produkte sind.
Außerdem wird das Update das Problem wahrscheinlich teilweise wegen der Wartezeit nicht für alle lösen. Wyze hat die damit verbundenen Schwachstellen für die Wyze Cam der ersten Generation nicht behoben. Und für das Gerät sind keine weiteren Updates geplant, da der Support im Februar endete. Benutzer dieser Geräte müssen auf ein neues Gerät upgraden, um das Problem zu beseitigen. Selbst wenn das bedeutet, nur auf eine neuere Wyze-Kamera zu aktualisieren.
