科技公司并不总是及时披露安全漏洞,但 Wyze 显然根本没有披露。正如Bleeping Computer和The Verge 所解释的那样,Bitdefender 透露,它在 2019 年 3 月向 Wyze 通报了Wyze Cam v1中的一个重大安全漏洞,但该设备制造商没有通知客户、召回产品或完全修补该问题。三年后。事实上,Wyze 无法完全解决这个问题——虽然它确实通过补丁缓解了这个问题,但现在很明显,该公司在一月份停产了这款相机,因为“硬件限制”阻止了正确的更新。
该漏洞使攻击者可以在不知道通常需要进行身份验证的值的情况下远程控制摄像头。虽然他们无法观看经过加密的实况视频,但他们可以控制摄像机、将其关闭并访问保存在 SD 卡上的视频。 Wyze 在 1 月下旬为其 v2 和 v3 相机修复了该漏洞。
Wyze 反应缓慢,并没有完全理解安全漏洞的性质。 Bitdefender 指出,Wyze 直到 2020 年 11 月才承认收到了警告,也就是发出警告一年半后。虽然它确实告诉客户由于与安全更新不兼容而停止了 Wyze Cam v1,但它没有告诉用户这是一个已知的三年前的缺陷。 It Wyze 发言人 Kyle Christensen 告诉The Verge ,该公司一直是透明的并“完全纠正”了这个问题,但实际上该公司只告诉业主,在 2 月 1 日之后使用 v1 相机会“增加风险”。
目前尚不清楚是否有黑客利用了这个漏洞,但潜在的后果是严重的。入侵者可能已经查看了家中过去的活动,或者在入室盗窃之前禁用了摄像头。
还有一些关于 Bitdefender 很晚披露的问题。该公司的公关总监 Steve Fiore 告诉The Verge ,当不清楚供应商能否正确解决问题时,它会延迟发布报告。它不想通过与公众分享漏洞利用的细节来暴露“可能数百万”的 Wyze Cam 用户。然而,安全研究人员通常会在几周内而不是几年内披露漏洞——甚至谷歌更谨慎的零项目也会在 90 天内分享技术细节。虽然科技公司要快速解决漏洞并不总是那么容易,但披露可以帮助迫使公司修复可能无法解决的安全问题。
来源: https://www.engadget.com/wyze-cam-security-exploit-three-years-142147258.html?src=rss