Wyze przez 3 lata nie zrobiło nic, aby załatać dziury w oprogramowaniu kamer

Firma Wyze już 3 lata temu wiedziała, że oprogramowanie kamer WyzeCam v1 zawiera błędy pozwalające hakerom na przejęcie nad nimi kontroli. Użytkownicy ich produktów przez cały ten czas żyli w nieświadomości, a obraz z ich kamer mógł przejąć każdy, kto dysponował odpowiednią wiedzą.

Jedyną reakcją było wycofanie wadliwego produktu w styczniu tego roku. Oczywiście firma Wyze „zapomniała” poinformować użytkowników o powodach wspominając tylko o braku możliwości aktualizacji. Światło na całą sprawę rzuca opublikowany przedwczoraj raport firmy Bitdefender, która wykryła trzy dość poważne błędy w oprogramowaniu. Z raportu dowiadujemy się też, że specjaliści poinformowali producenta kamer o tym fakcie trzy lata temu.

Wyze WyzeCam v1

Powstają więc dwa ważne pytania i szczerze mówiąc, nie wiemy, które z nich jest ważniejsze. Po pierwsze, czemu firma Wyze nie zareagowała na zgłoszenie błędów? Po drugie, dlaczego Bitdefender czekał tyle czasu na upublicznienie całej sprawy? Pierwsza sprawa budzi obawy o uczciwość firmy w podejściu do klienta, a druga wydaje się być równie ważna, bo przecież poinformowanie opinii publicznej o możliwości nielegalnego przejęcia sygnału z kamer umieszczonych w wielu domach na świecie jest świętym obowiązkiem ludzi zajmujących się cyberbezpieczeństwem.

Wyze wiedziało o problemie już w marcu 2019

Rozumiemy danie firmie czasu na załatanie luk, ale przecież nie trzy lata! Zwłaszcza, jeśli nie podejmuje ona kontaktu ze specjalistami po wysłaniu przez nich informacji o tak poważnych lukach. Upublicznienie takich informacji powinno nastąpić w czasie liczonym w dniach, lub jeśli sprawa jest mniej poważna/wymaga większego nakładu pracy od producenta, miesiącach. Tu minęły trzy lata…

Wyze WyzeCam v1

Większość badaczy stosuje zasady, zgodnie z którymi jeśli w dobrej wierze próbują skontaktować się ze sprzedawcą i nie otrzymują odpowiedzi, ujawniają to publicznie w ciągu 30 dni – powiedział Alex Stamos, dyrektor Stanford Internet Observatory i były główny specjalista ds. bezpieczeństwa w Facebooku.

Na co pozwalały te błędy? W skrócie, na przejęcie kontroli nad kamerą i wysyłanie obrazu z niej gdzie tylko atakującemu się spodoba. Może on też uzyskać dostęp do zawartości karty SD w kamerze i przeglądać archiwalne zapisy. Bitdefender zaleca, aby izolować urządzenia od lokalnej sieci oraz aktualizację urządzenia. W przypadku WyzeCam v1 ta ostatnia opcja nie jest to możliwa, więc urządzenie powinno wylądować w koszu, bo chyba nikt nie chce, aby ktoś obcy podglądał jego dzieci lub rejestrował obrazy z sypialni.

Firma Wyze wiedziała o błędach od marca 2019 roku, a Bitdefender czekał na jej odpowiedź do listopada 2020 r. Mimo to badacze nie opublikowali informacji, a producent kamery nie raczył poinformować swoich klientów. Obie firmy zachowały się mało etycznie, ale Bitdefender może się przynajmniej tłumaczyć, że czekał na reakcję Wyze. Producent kamery może sobie chyba darować tłumaczenia.

Źródło: The Verge

0 0 votes
Article Rating
Powiadomienia
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x