Wyze visste att hackare kunde komma åt din kamera på distans i tre år & Han sa ingenting

 Wyze visste att hackare kunde komma åt din kamera på distans i tre år &  Han sa ingenting

Jag kastade mina Wyze hemsäkerhetskameror i papperskorgen. Jag är med det här företaget.

Jag fick just veta att Wyze är fullt medveten om en sårbarhet i sina hemsäkerhetskameror som kan låta hackare se ditt hem på Internet – men valde att sopa det under mattan. Och säkerhetsföretaget som hittade sårbarheten lät dem till stor del göra det.

Istället för att patcha det, istället för att missa det, vet du, så att jag kan sluta rikta dessa kameror mot mina barn, installerade Wyz just Wyzecam v1 . beslutade att stänga i januari utan fullständig förklaring. Men på tisdagen lyser säkerhetsundersökningsföretaget Bitdefender i slutet Varför Wyze slutade sälja det: Eftersom någon kunde komma åt din kamerans SD-kort från Internet, stjäla krypteringsnyckeln och börja titta på och ladda ner dess videoflöde.

Wyze säger ingenstans något liknande till kunder som mig. Inte när den tog av kameran, inte under de tre åren sedan Bitdefender uppmärksammade Wyze på den i mars 2019, och möjligen aldrig: Wyze talesman Kyle Christensen berättade för mig vad företaget beträffar. Det är redan transparent med sina kunder. och “har åtgärdat problemet helt”. Men Wyze fixade det bara för nyare versioner av Wyzecam, och även då slutade det med att det patchade V2 och V3 först den 29 januari 2022, enligt detta,

När det gäller att vara transparent har det mesta jag sett Wyze berätta för kunder att “Din fortsatta användning av VizCam efter 1 februari 2022 ökar risken, avskräcks av Wyze och är helt på egen risk.” Den skickar också ibland vaga e-postmeddelanden som detta till sina kunder, vilket jag brukade uppskatta men nu i efterhand frågar mig:

Skärmdump av Sean Hollister / The Verge

När jag läser de orden om “ökad risk” Vårt inlägg angående stängningen av WyzeCam v1, minns jag att jag tänkte att det bara hänvisade till säkerhetsuppdatering – inte en stor sårbarhet som redan finns.


Här är dock en annan fråga: Varför har inte Bitdefender avslöjat detta på tre hela år, när det kunde ha tvingat Wyzes hand?

Varför hör vi om det nu?

Enligt säkerhetsundersökningsföretaget Self Disclosure Timeline (PDF) nådde den Wyze i mars 2019 och har inte fått något Ett år efter åtta månader till november 2020. Ändå valde Bitdefender att vara tyst till igår.

Om du undrar, nej, detta är inte vanligt i säkerhetsgemenskapen. Medan experter säger till mig att konceptet med en “ansvarsfull tidslinje för avslöjande” är lite föråldrad och beror mycket på situationen, men vi mäter i allmänhet inte året. Alex Stamos, chef och tidigare säkerhetschef för Stanford Internet Observatory, sa: “De flesta forskare har policyer på plats där om de gör en god trosansträngning för att nå en leverantör och inte får något svar, avslöjar de offentligt” På Facebook , berättar för mig.

“Till och med den amerikanska regeringens 45-dagars standardtid för avslöjande För att förhindra att leverantörer begraver felrapporter och aldrig fixar dem”, skriver Katie Mausoris, grundare och VD för Luta Security och medförfattare till International ISO Standards for Vulnerability Disclosure and Vulnerability Management Processes .

Jag frågade Bitdefender om det, och PR-direktören Steve Fiore hade en förklaring, men det passar mig inte bra. Här är den i sin helhet:

Våra upptäckter var så allvarliga att vårt beslut, oavsett vår vanliga 90-dagars-respitperiod-förlängningspolicy, var att publicera denna rapport utan Wyzs godkännande och mildra potentiellt okända effekter för miljontals kunder. var på väg att avslöja. Speciellt eftersom säljaren inte hade några kända (för oss) säkerhetsrutiner/ramar. Wyze implementerade faktiskt ett resultat av våra resultat förra året (https://www.wyze.com/pages/security-report,

Vi har skjutit upp publiceringen av rapporten (iBaby Monitor M6S-kameror) under en lång period av samma anledning som tidigare. Effekten av att offentliggöra resultaten, liksom bristen på information om säljarens förmåga att ta itu med konsekvenserna, avgjorde vår väntan.

Vi förstår att detta inte är en vanlig praxis med andra forskare, men att avslöja resultaten innan leverantören har tillhandahållit plåstret skulle ha ställt många människor i fara. Så när Wyze äntligen kommunicerade och försåg oss med trovärdig information om deras förmåga att lösa de rapporterade problemen, bestämde vi oss för att ge dem tid och en förlängning.

Ibland är det vettigt att vänta. Båda experterna jag pratade med, Mausoris och Stamos, växte upp oberoende av varandra. Notorious Meltdown Computer CPU Vulnerabilities Som ett exempel där det var svårt att balansera säkerhet och avslöjande – på grund av hur många människor som drabbades, hur djupt inbäddade datorer kan vara och hur svåra de är att fixa.

Men en smart hemkamera för 20 $ som bara sitter på min hylla? Om Bitdefender utfärdade ett pressmeddelande för två år sedan om att Wyze hade ett fel som det inte kommer att åtgärda, är det mycket lättare att sluta använda den kameran, inte köpa fler av dem och istället köpa en annan. att välja. “Att ha påverkat kunder är en enkel begränsningsstrategi”, säger Stamos.

Exemplet iBaby Monitor som Bitdefender tar upp är också lite ironiskt – för där ute är Bitdefender faktiskt att tvinga ett företag att agera. När Bitdefender och PCMag avslöjade att babymonitorföretaget inte hade åtgärdat deras säkerhetshål, vilket resulterade i dålig publicitet som fick dem att fixa det exakt tre dagar senare,

Dagar, inte år.

Foto av Sean Hollister/The Verge

Om du nu ursäktar mig måste jag säga hejdå Wyze Earbuds I Loved, för jag menar allvar med att vara klar med Wyze. Jag var redo att skriva Den katastrofala läckan av företagets 2,4 miljoner kunders data Som ett misstag, men det ser inte ut som att företaget gjort något här. Om dessa brister var tillräckligt illa för att avveckla kameran 2022, förtjänade kunderna att veta det 2019.