Wyze przez 3 lata nie zrobiło nic, aby załatać dziury w oprogramowaniu kamer
Firma Wyze już 3 lata temu wiedziała, że oprogramowanie kamer WyzeCam v1 zawiera błędy pozwalające hakerom na przejęcie nad nimi kontroli. Użytkownicy ich produktów przez cały ten czas żyli w nieświadomości, a obraz z ich kamer mógł przejąć każdy, kto dysponował odpowiednią wiedzą.
Jedyną reakcją było wycofanie wadliwego produktu w styczniu tego roku. Oczywiście firma Wyze „zapomniała” poinformować użytkowników o powodach wspominając tylko o braku możliwości aktualizacji. Światło na całą sprawę rzuca opublikowany przedwczoraj raport firmy Bitdefender, która wykryła trzy dość poważne błędy w oprogramowaniu. Z raportu dowiadujemy się też, że specjaliści poinformowali producenta kamer o tym fakcie trzy lata temu.
Powstają więc dwa ważne pytania i szczerze mówiąc, nie wiemy, które z nich jest ważniejsze. Po pierwsze, czemu firma Wyze nie zareagowała na zgłoszenie błędów? Po drugie, dlaczego Bitdefender czekał tyle czasu na upublicznienie całej sprawy? Pierwsza sprawa budzi obawy o uczciwość firmy w podejściu do klienta, a druga wydaje się być równie ważna, bo przecież poinformowanie opinii publicznej o możliwości nielegalnego przejęcia sygnału z kamer umieszczonych w wielu domach na świecie jest świętym obowiązkiem ludzi zajmujących się cyberbezpieczeństwem.
Wyze wiedziało o problemie już w marcu 2019
Rozumiemy danie firmie czasu na załatanie luk, ale przecież nie trzy lata! Zwłaszcza, jeśli nie podejmuje ona kontaktu ze specjalistami po wysłaniu przez nich informacji o tak poważnych lukach. Upublicznienie takich informacji powinno nastąpić w czasie liczonym w dniach, lub jeśli sprawa jest mniej poważna/wymaga większego nakładu pracy od producenta, miesiącach. Tu minęły trzy lata…
Większość badaczy stosuje zasady, zgodnie z którymi jeśli w dobrej wierze próbują skontaktować się ze sprzedawcą i nie otrzymują odpowiedzi, ujawniają to publicznie w ciągu 30 dni – powiedział Alex Stamos, dyrektor Stanford Internet Observatory i były główny specjalista ds. bezpieczeństwa w Facebooku.
Na co pozwalały te błędy? W skrócie, na przejęcie kontroli nad kamerą i wysyłanie obrazu z niej gdzie tylko atakującemu się spodoba. Może on też uzyskać dostęp do zawartości karty SD w kamerze i przeglądać archiwalne zapisy. Bitdefender zaleca, aby izolować urządzenia od lokalnej sieci oraz aktualizację urządzenia. W przypadku WyzeCam v1 ta ostatnia opcja nie jest to możliwa, więc urządzenie powinno wylądować w koszu, bo chyba nikt nie chce, aby ktoś obcy podglądał jego dzieci lub rejestrował obrazy z sypialni.
Firma Wyze wiedziała o błędach od marca 2019 roku, a Bitdefender czekał na jej odpowiedź do listopada 2020 r. Mimo to badacze nie opublikowali informacji, a producent kamery nie raczył poinformować swoich klientów. Obie firmy zachowały się mało etycznie, ale Bitdefender może się przynajmniej tłumaczyć, że czekał na reakcję Wyze. Producent kamery może sobie chyba darować tłumaczenia.
Źródło: The Verge
Miłośnik nowoczesnych technologii, głównie nowych rozwiązań IT. Redaktor w czasopismach Gambler, Enter, PC Kurier, Telecom Forum, Secret Service, Click!, Komputer Świat Gry, Play, GameRanking. Wiele lat spędził w branży tłumaczeniowej – głównie gier i programów użytkowych. W wolnych chwilach lata szybowcem, jeździ na rowerze i pochłania duże ilości książek.
