=”900″>Wyze
El 6 de marzo de 2019, investigadores de seguridad en Bitdefender intentó advertir a Wyze sobre tres vulnerabilidades principales en sus cámaras de seguridad inteligentes. La peor de estas fallas, que brinda a los piratas informáticos acceso no autorizado a la tarjeta SD de una Wyze Cam, no se solucionó durante tres años y sigue siendo un problema en los modelos Wyze Cam V1 descontinuados.
Aquí están las buenas noticias; probablemente no te hayas visto afectado por este exploit en particular. Otros medios que informaron sobre esta historia perdieron detalles clave, incluido cómo funciona la vulnerabilidad de acceso remoto. Pero la inacción de Wyze es alarmante, y los clientes deberían cuestionarse absolutamente si vale la pena confiar en la empresa.
¿Cómo funciona el exploit?
Como se describe en Según el informe de Bitdefender, los piratas informáticos podrían obtener acceso al contenido de la tarjeta SD de una Wyze Cam”a través de un servidor web que escucha en el puerto 80″. Esto se debe al hecho de que se puede acceder a todo el contenido de la tarjeta SD sin autorización en el directorio web de la cámara, lo cual tiene sentido, ya que las grabaciones guardadas en su tarjeta SD deben poder verse a través de su red local.
Si eso Suena complicado, permítanme reducirlo a términos sencillos. Los piratas informáticos que logran acceder a su red local podrían buscar en la tarjeta SD de su Wyze Cam. También podrían acceder al contenido de la tarjeta SD si el puerto de su Wyze Cam está expuesto a Internet, algo que tendría que configurar manualmente a través del reenvío de puertos.
Los piratas informáticos que sigan los pasos anteriores pueden usar el hola de la Wyze Cam Secuencia de comandos.cgi para ver el contenido de la tarjeta SD. Desde allí, los piratas informáticos pueden navegar a /SDPath/ruta y descargar archivos desde la tarjeta SD.
Tu tarjeta SD Wyze Cam contiene una gran cantidad de datos importantes, no solo videoclips. Los piratas informáticos pueden buscar en los archivos de registro de Wyze Cam, por ejemplo, para encontrar el UID y el enr del dispositivo. Estos datos podrían habilitar el acceso remoto y otras vulnerabilidades.
Si su Wyze Cam está actualizada, entonces no es vulnerable a esta vulnerabilidad. La única Wyze Cam que permanece sin parchear es la Wyze Cam V1. Sin embargo, probablemente nunca recibirá el parche, ya que está descontinuado.
Sus cámaras probablemente no fueron pirateadas
Existe una posibilidad decente de que los piratas informáticos explotaran esta vulnerabilidad de Wyze Cam: Bitdefender y Wyze no han aclarado esa parte de la historia. Pero es probable que sus cámaras no hayan sido pirateadas.
Como mencioné anteriormente, esta vulnerabilidad requiere acceso al puerto 80 de su cámara. Solo hay un puñado de formas para que los piratas informáticos establezcan una conexión con este puerto. O se conectan a su red local (que puede ser una red de invitados para algunos clientes) o interceptan el puerto porque usted lo reenvió a Internet.
Si tiene un vecino experto en tecnología que está lo suficientemente loco para descifrar su contraseña de Wi-Fi, absolutamente podrían lograr este exploit en una cámara sin parchear. Pero en ese momento, ya estás metido hasta las rodillas en una pesadilla de seguridad. Las grabaciones de la cámara serían la menor de sus preocupaciones. (Si tiene dispositivos domésticos inteligentes en una red de invitados sin contraseña, ahora es el momento de reconsiderar esa decisión).
Y si redirigió el puerto de su Wyze Cam para monitorear de forma remota su estado (activar/desactivar), entonces puede que te hayas jodido accidentalmente. Los piratas informáticos podrían haber accedido de forma remota al contenido de la cámara sin tocar su red local.
Debo señalar que algunos clientes de Wyze Cam reenviaron sus cámaras usando una guía no oficial en los foros de Wyze, que establece explícitamente que el proceso podría ser inseguro. Dicho esto, Wyze no parece desalentar este comportamiento.
La inacción de Wyze es la mayor preocupación
Michael Crider
El propietario promedio de Wyze Cam puede alejarse de esta historia sabiendo que probablemente no fue pirateado. Definitivamente deberías actualizar tus Wyze Cams existentes y deshacerte de cualquier modelo de Wyze Cam V1 que tengas, pero por lo demás, todo está bien.
Pero esta historia sigue siendo inquietante. Wyze no fue transparente con sus clientes y se mantuvo en una falla de seguridad preocupante durante tres años. ¿Existen otras vulnerabilidades que debamos conocer?
Wyze ni siquiera les informó a los clientes sobre esta falla cuando fue parcheado el 29 de enero. Y cuando la empresa descontinuó la Cam V1 dos días antes, simplemente explicó que la cámara no podía”soportar una actualización necesaria”. Es muy difícil confiar en Wyze después de que nos mantuvo en la oscuridad a sabiendas.
Los investigadores de Bitdefender también están en mala situación. Como la mayoría de los grupos de seguridad, Bitdefender intenta otorgar a las empresas un”período de gracia”de 90 días para parchear cualquier vulnerabilidad en sus productos. Es un buen sistema que evita que las vulnerabilidades se hagan públicas antes de que puedan corregirse, lo cual tiene sentido.
Pero Bitdefender terminó otorgando a Wyze un período de gracia de tres años. El grupo podría haber publicado sus hallazgos temprano para darle una patada en los pantalones a Wyze, pero en cambio, decidió esperar. En una declaración a The Verge, Bitdefender explica que Wyze no contaba con un sistema de seguridad cuando se descubrió esta falla; tal vez Bitdefender no confiaba en la capacidad de Wyze para resolver el problema, lo cual es frustrante pero comprensible.
Dadas las circunstancias, es posible que sienta la necesita reemplazar sus cámaras Wyze. Sugiero ir con una gran empresa como Google, no porque esas empresas sean invulnerables a las fallas de seguridad, sino porque se enfrentan a un mayor escrutinio por parte de los grupos de seguridad. Estoy frustrado porque Bitdefender se puso los guantes de niño con Wyze, pero confío en que será más proactivo al tratar con grandes marcas.