Kinesiska tillverkaren Wyze kände till en allvarlig sårbarhet som öppnade deras säkerhetskameror för hackare i mer än tre år. Om du har WyzeCam v1 så kan vem som helst komma åt den via internet och se allt som pågår i hemmet.
Det rapporterar säkerhetsfirman Bitdefender som avslöjar att Wyze sopade säkerhetshålet under matten istället för att berätta för sina kunder. De valde att sluta sälja modellen utan förvarning och tätade aldrig sårbarheten.
Viktigt att veta om händelsen kring Wyze
- WyzeCam v1 har en sårbarhet som öppnar kameran med totalt åtkomst för hackare
- Bitdefender berättade för Wyze om sårbarheten i mars 2019
- Sårbarheten fixades först i januari 2022
- Bitdefender avslöjade inte sårbarheten publikt förrän i mars 2022
- WyzeCam v2 och v3 omfattas inte av sårbarheten
Hackare kan stjäla alla videor och se live-strömmar
Säkerhetsfirman säger att sårbarheten i fråga gör att hackare kan komma åt all data på SD-kortet i säkerhetskameran, stjäla krypteringsnyckeln och se allt som pågår via kameran. Alla inspelade filmer kan dessutom laddas ner lokalt.
Det mest skrämmande är att Bitdefender berättade för Wyze om sårbarheten redan i mars 2019. Först i november 2020 svarade tillverkaren på informationen de fått om sårbarheten.
Wyze valde att lägga locket på samtidigt som säkerhetsfirman höll tyst från sitt håll. Användarna, de har varit aningslösa i tre år.
Bitdefender höll tyst i tre år
Normalt för många säkerhetsfirmor är att sårbarheter som inte fixas inom 30 dagar blir publikt presenterade. Både för att varna konsumenterna, men främst för att sätta hårdare press på tillverkarna att fixa säkerhetshålen snabbare. Bitdefender väntade i tre år.
Så här säger Alex Stamos till webbsajten The Verge:
The majority of researchers have policies where if they make a good faith effort to reach a vendor and don’t get a response, that they publicly disclose in 30 days.
Och Katie Moussouris på säkerhetsfirman Lua Security säger så här:
Even the US government has a 45-day default disclosure deadline to prevent vendors from burying bug reports and never fixing them.
Bitdefender har alltså frångått normen och gjorde det möjligt för Waze att undanhålla information om sårbarheten för sina användare. Inte speciellt bra för en säkerhetsfirma som säger sig jobba för användarnas säkerhet.
Bitdefender försvarar sitt beslut
Säkerhetsfirman har svarat på kritiken och säger i ett meddelande till The Verge att de inte ville äventyra säkerheten för miljontals användare av Wyzes produkter.
I uttalandet säger de att Wyze inte har en (för Bitdefender) känd säkerhetsprocess och att gå ut med information om sårbarheten skulle kunna ha oväntade implikationer.
Det här är inte första gången som Bitdefender inte vill avslöja sårbarheter. Tidigare valde företaget att inte avslöja sårbarheter i babykameran iBaby Monitor M6S eftersom det kunde öppna för fler hackerattacker där små barn var direkt involverade.
Wyze fixade sårbarheten i januari 2022
Wyze fick information om sårbarheten i mars 2019, kommunicerade med Bitdefender i november 2020 och först i januari 2022 så tätade företaget sårbarheten i säkerhetskameran.
Samtidigt passade de på att sluta erbjuda WyzeCam v1 och rekommenderade alla med säkerhetskameran att sluta använda den efter den 1 februari 2022. Efter det datumet menade Wyze att fortsatt användning skulle ge ”ökade risker”, även om användarna var utsatta för risk i tre år innan dess.
Wyze läckte känslig kunddata för 2,4 miljoner användare
Det här är inte den första kontroversen kring den kinesiska tillverkaren. Tidigare i december 2019 rapporterade vi att Wyze läckte data om ett stort antal kunder.
Bland annat fick obehöriga åtkomst till detaljer om kundernas hemnätverk, positionering av säkerhetskamerorna och personlig information om användarna. Hela 2,4 miljoner användare drabbades när uppgifterna var åtkomliga på internet mellan den 4 och 26 december 2019.
Hela svaret från Bitdefender till The Verge
Our findings were so serious, our decision, regardless of our usual 90-day-with-grace-period-extensions-policy, was that publishing this report without Wyze’s acknowledgement and mitigation was going to expose potentially millions of customers with unknown implications. Especially since the vendor didn’t have a known (to us) a security process / framework in place. Wyze actually implemented one last year as a result of our findings (https://www.wyze.com/pages/security-report).
We have delayed publishing reports (iBaby Monitor M6S cameras) for longer periods for the same reason before. The impact of making the findings public, coupled with our lack of information on the capability of the vendor to address the fallout, dictated our waiting.
We understand that this is not necessarily a common practice with other researchers, but disclosing the findings before having the vendor provide patches would have put a lot people at risk. So when Wyze did eventually communicate and provided us with credible information on their capability to address the issues reported, we decided to allow them time and granted extensions.