Ku kamerám Wyze mohli pristupovať hackeri, výrobca chybu ignoroval

Trvalo mu takmer tri roky, kým vážnu zraniteľnosť opravil.

Bezpečnostné diery v zariadeniach a ich firmvéroch nie sú ničím neobvyklým. Poctiví výrobcovia tieto zraniteľnosti opravujú aktualizáciami, pričom sa snažia postupovať čo najrýchlejšie.

Na chyby v zabezpečení tých či oných zariadení často upozorňujú tretie strany. Či už firmy pôsobiace v oblasti kybernetickej bezpečnosti, nezávislí špecialisti alebo rôzne organizácie. Tieto subjekty o svojich zisteniach informujú príslušných výrobcov, ktorí ich následne overia a pripravia aktualizáciu.

Aj to je jedným z dôvodov, prečo smartfóny dostávajú na pravidelnej báze aktualizácie zabezpečenia. Jedna spoločnosť, a nie vôbec malá, však identifikované bezpečnostné diery vo svojich zariadeniach dlhý čas ignorovala. Ide o výrobu lacných webových kamier Wyze.

Kompaktnými bielymi kockami si používatelia môžu strážiť svoju domácnosť, chaty, kancelárie a podobne. Zraniteľnosť v kamerách Wyze umožňovala neoprávneným osobám vzdialené pristupovať k obsahu pamäťových kariet, ktoré sú v kamerách vložené.

Hackeri si tak mohli pozrieť všetky fotky, videá a zvukové záznamy, ktoré kamera na vloženú kartu zapísala. Podrobnosti prináša server bleepingcomputer.com.

wyze
Wyze Cam v3. Foto: Wyze

Ako informuje, zraniteľnosť odhalili experti spoločnosti Bitdefender ešte v marci 2019. A spolu s ňou poukázali aj na ďalšie dve chyby v zabezpečení týkajúce sa overovania a ovládania kamery na diaľku.

Jednu z chýb, označenú kódom CVE-2019-9564, výrobca opravil aktualizáciou v septembri 2019. Druhú chybu (CVE-2019-12266) opravil neskôr, v novembri 2020, teda 21 mesiacov po upozornení Bitdefenderom.

Tú najzásadnejšiu, umožňujúcu útočníkom pristupovať k obsahu pamäťových kariet, však výrobca kamier Wyze vyriešil až v januári 2022. Trvalo takmer tri roky, kým došlo k náprave. Tým komplikácie nekončia.

TIP REDAKCIE
Vývojári si trhajú vlasy: Huawei AppGallery umožňuje sťahovanie platených aplikácií úplne zadarmo (AKTUALIZOVANÉ)

Aktualizácia firmvéru prislúcha kamerám Wyze Cam v2 a v3, na trh sa dostali v roku 2018 a 2020. Prvá generácia kamier, Wyze Cam v1 z roku 2017, nárok na aktualizáciu nemá. Jej životnosť skončila v roku 2020. To znamená, že tento typ zostáva zraniteľný naďalej, v podstate už navždy.

Bitdefender preto používateľom odporúča, aby túto kameru prestali používať čo najskôr. Zástupca spoločnosti Wyze vo vyjadrení pre BleepingComputer ubezpečil, že používanie kamier v2 a v3 je úplne bezpečné, pokiaľ majú nainštalovanú najnovšiu verziu firmvéru.

Bezpečnostné kamery však nie sú smartfóny. Používateľ kameru niekde umiestni, pripojí ju na internet a vypustí z hlavy, pokiaľ funguje, prenáša a zaznamenáva obraz. Časť zákazníkov jednoducho kameru nezaktualizuje, hoci od výrobcu pravdepodobne obdržali e-mail s informáciou o dostupnosti novej verzie softvéru.

Aktuálne verzie firmvéru pre kamery Wyze sú dostupné na stiahnutie na oficiálnych stránkach výrobcu (TU). Aktualizácie zraniteľností by mali byť v ideálnom prípade dostupné v dňoch, nie po pár rokoch. Prístup výrobcu je dobrou motiváciou na to, aby sa používatelia zbavili všetkých kamier Wyze, nielen staršieho a už nepodporovaného modelu. Na trhu je z čoho vyberať.