Hakerzy mogli mieć dostęp do nagrań z kamer monitoringu Wyze
Firma Wyze przez trzy lata wiedziała o poważnej luce w zabezpieczeniach swych kamer monitoringu. Nie załatała jej też, ani nie poinformowała klientów, narażając tym samym ich prywatność.
Kamery monitoringu to świetne narzędzie do pilnowania swego domu przed intruzami. Oczywiście pod warunkiem, że posiadają odpowiednie zabezpieczenia przed hakerami, gdyż w przeciwnym wypadku mogą znacznie ułatwić życie włamywaczom. Niestety tak właśnie było z kamerami firmy Wyze, których producent przez trzy lata wiedział o poważnej luce w zabezpieczeniach.
Bitdefender twierdzi, że już w marcu 2019 roku poinformował producenta o poważnej luce w zabezpieczeniach kamery Wyze Cam v1. Firma nie poinformowała jednak o tym fakcie swych klientów, nie wycofała sprzętu z rynku, ani też nie załatała łatki. Producent nie był w stanie jej załatać, choć nieco złagodził problem za pomocą poprawek. Dopiero w styczniu tego roku wycofał kamerę ze sprzedaży, gdyż według oficjalnego komunikatu, ograniczenia sprzętowe uniemożliwiły właściwą aktualizację.
Luka była bardzo poważna, gdyż umożliwiała atakującemu przejęcie kontroli nad kamerą, bez konieczności uwierzytelnienia. Co prawda atakujący nie miał dostępu do podglądu na żywo, gdyż jest on szyfrowany. Mógł natomiast sterować kamerą, wyłączać ją oraz uzyskać dostęp do filmów zapisanych na karcie SD. Dopiero pod koniec stycznia załatano tę lukę w kamerach V2 i V3.
Co gorsza, firma przez dłuższy czas nie reagowała na informacje o luce. Bitdefender twierdzi, że Wyze potwierdził otrzymanie ostrzeżenia dopiero w listopadzie 2020 roku, a więc półtora roku po jego dostarczeniu. Firma poinformowała użytkowników, że wycofuje kamerę z rynku z powodu niezgodności z aktualizacją zabezpieczeń. Nie ujawniła natomiast, że jest to wada sprzed trzech lat.
Nie ma dowodów na to, że hakerzy wykorzystali lukę, jednak jej potencjalne konsekwencje mogły być poważne. Intruz mógł bowiem przejrzeć wcześniejszą aktywność w domu, ustalając w ten sposób pory, w których nikogo w nim nie było. Natomiast przed włamaniem mógł całkowicie wyłączyć kamerę.
Technogadżet w liczbach