Wyze

6. maaliskuuta 2019 tietoturvatutkijat osoitteessa Bitdefender yritti varoittaa Wyzeä aiheesta kolme suurta haavoittuvuutta sen älykkäissä turvakameroissa. Pahin näistä puutteista, jotka antavat hakkereille luvattoman pääsyn Wyze Camin SD-korttiin, jäi korjaamatta kolmeksi vuodeksi ja on edelleen ongelma lopetetuissa Wyze Cam V1-malleissa.

Tässä on hyvä uutinen; tämä hyväksikäyttö ei luultavasti vaikuttanut sinuun. Muut tätä tarinaa raportoivat myyntipisteet jättivät huomioimatta tärkeitä yksityiskohtia, kuten etäkäytön hyödyntämisen. Mutta Wyzen toimimattomuus on hälyttävää, ja asiakkaiden tulee ehdottomasti kyseenalaistaa, kannattaako yritykseen luottaa.

Miten hyväksikäyttö toimii?

Kuten kuvataan osoitteessa

Yllä olevia ohjeita noudattavat hakkerit voivat käyttää Wyze Camin tervehdysmerkkiä..cgi-skripti, jolla voit tarkastella SD-kortin sisältöä. Sieltä hakkerit voivat navigoida osoitteeseen /SDPath/path ja ladata tiedostoja SD-kortilta.

Wyze Cam-SD-korttisi sisältää joukon tärkeitä tietoja, ei vain videoleikkeitä. Hakkerit voivat etsiä esimerkiksi Wyze Camin lokitiedostoja löytääkseen laitteen UID:n ja enr:n. Nämä tiedot voivat mahdollistaa etäkäytön ja muut hyödyt.

Jos Wyze Cam on ajan tasalla, se ei ole alttiina tälle hyväksikäytölle. Ainoa korjaamaton Wyze Cam on Wyze Cam V1. Se ei kuitenkaan todennäköisesti koskaan saa korjaustiedostoa, koska sen valmistus on lopetettu.

Kameroitasi ei todennäköisesti ole hakkeroitu

Wyze

On olemassa hyvä mahdollisuus, että hakkerit käyttivät hyväkseen tätä Wyze Cam-haavoittuvuutta – Bitdefender ja Wyze eivät ole selventäneet tätä osaa tarinasta. Mutta kameroitasi ei luultavasti hakkeroitu.

Kuten mainitsin aiemmin, tämä haavoittuvuus vaatii pääsyn kamerasi porttiin 80. Hakkereilla on vain kourallinen tapoja muodostaa yhteys tähän porttiin. Joko he muodostavat yhteyden paikallisverkkoosi (joka voi olla vierasverkko joillekin asiakkaille) tai kaappaavat portin, koska välitit sen Internetiin.

Jos sinulla on tekniikkaa taitava naapuri, joka on tarpeeksi hullu murtaa Wi-Fi-salasanasi, he voisivat ehdottomasti tehdä tämän hyväksikäytön korjaamattomalla kameralla. Mutta siinä vaiheessa olet jo polviin asti turvallisuuspainajaisessa. Kameratallenteet olisivat vähiten huolesi. (Jos sinulla on älykkäitä kodin laitteita salasanattomassa vierasverkossa, nyt on aika harkita päätöstä uudelleen.)

Ja jos siirsit Wyze Camin edelleen valvomaan sen tilaa (päällä/pois) etänä, olet saattanut vahingossa pilata itsesi. Hakkerit olisivat voineet päästä etäkäyttöön kameran sisältöön koskettamatta paikallisverkkoasi.

Huomaa, että jotkut Wyze Cam-asiakkaiden portit välittivät kameransa edelleen Wyze-keskusteluryhmät, jossa todetaan nimenomaisesti, että prosessi voi olla turvaton. Wyze ei kuitenkaan näytä lannistavan tätä käytöstä.

Wyzen toimettomuus on suurin huolenaihe

Michael Crider

Keskiverto Wyze Camin omistaja voi jättää tämän tarinan tietämättä, että häntä ei luultavasti hakkeroitu. Sinun tulee ehdottomasti päivittää nykyiset Wyze Camisi ja luopua omistamistasi Wyze Cam V1-malleista, mutta muuten kaikki on kunnossa.

Mutta tämä tarina on silti huolestuttava. Wyze ei ollut läpinäkyvä asiakkaidensa kanssa ja istui huolestuttavan tietoturvavirheen parissa kolme vuotta – onko olemassa muita haavoittuvuuksia, joista meidän pitäisi tietää?

Wyze ei edes kertonut asiakkaille tästä puutteesta, kun se oli korjattu tammikuun 29. Ja kun yritys lopetti Cam V1:n kaksi päivää aikaisemmin, se yksinkertaisesti selitti, että kamera ei voinut”tukea tarpeellista päivitystä”. Wyzeen on erittäin vaikea luottaa, kun se tietoisesti piti meidät pimeässä.

Bitdefenderin tutkijat ovat myös huonossa vedessä. Kuten useimmat tietoturvaryhmät, Bitdefender yrittää antaa yrityksille 90 päivän”armonajan”korjatakseen tuotteidensa haavoittuvuudet. Se on hyvä järjestelmä, joka estää haavoittuvuuksia joutumasta julkisuuteen ennen kuin ne voidaan korjata, mikä on järkevää.

Mutta Bitdefender antoi Wyzelle kolmen vuoden lisäajan. Ryhmä olisi voinut julkaista havainnot hyvissä ajoin antaakseen Wyzelle potkua housuihin, mutta sen sijaan se päätti odottaa. The Vergelle antamassaan lausunnossa Bitdefender selittää, että Wyzellä ei ollut turvajärjestelmää, kun tämä puute havaittiin – ehkä Bitdefender ei luottanut Wyzen kykyyn ratkaista ongelma, mikä on turhauttavaa, mutta ymmärrettävää.

Kun otetaan huomioon tilanne, saatat tuntea sinun on vaihdettava Wyze-kamerasi. Suosittelen ottamaan yhteyttä Googlen kaltaiseen suureen yritykseen, ei siksi, että tällaiset yritykset olisivat haavoittumattomia tietoturvapuutteille, vaan siksi, että ne joutuvat enemmän tietoturvaryhmien valvontaan. Olen turhautunut siihen, että Bitdefender käytti lasten käsineitä Wyzen kanssa, mutta luotan siihen, että se on ennakoivampi asioidessaan suurten merkkien kanssa.

Categories: IT Info