Wyze se enteró de una falla de seguridad de la cámara en 2019 y no se lo dijo a nadie

Wyze ha estado vendiendo cámaras de seguridad inteligentes de bajo costo desde la Wyze Cam original en 2017, y también se ha expandido a otras categorías de productos (como auriculares). Sin embargo, la compañía también ha tenido bastantes problemas, y ha salido a la luz otro problema importante: los piratas informáticos podrían obtener acceso a las transmisiones de video de Wyze Cams.

Bitdefender reveló públicamente el martes una serie de vulnerabilidades en las cámaras de seguridad de Wyze que afectaron a Wyze Cam Pan v2 (anterior a 4.49.1.47), Wyze Cam v2 (anterior a 4.9.8.1002), Wyze Cam v3 (anterior a 4.36.8.32), y la Wyze Cam original en todas las versiones de firmware. La primera vulnerabilidad, conocida como CVE-2019-9564, permitió a los piratas eludir el inicio de sesión de los dispositivos Wyze y acceder a los controles de la cámara. Bitdefender también descubrió una vulnerabilidad de desbordamiento del búfer de pila (CVE-2019-12266), que, junto con la primera falla de seguridad, se puede usar para acceder de forma remota a la transmisión de video de una cámara.

Desarrolladores de XDA VÍDEO DEL DÍA

Para aprovechar esta falla de seguridad, debe conocer la ID de la cámara original, que es una cadena aleatoria que solo se puede registrar al unirse a la misma red local que la cámara. Eso reduce en gran medida el alcance de la falla de seguridad, ya que un pirata informático primero debe acceder a su red doméstica antes de acceder a la transmisión de video de una cámara Wyze.

El mayor problema aquí no es realmente la vulnerabilidad, es cómo Wyze hecho la vulnerabilidad Bitdefender dice que contactó a Wyze dos veces, primero el 6 de marzo de 2019 y nuevamente el 15 de marzo de 2019, y aparentemente no recibió respuesta. Durante los meses siguientes, Wyze actualizó algunas de sus cámaras con una solución parcial para el problema de inicio de sesión, aún sin responder a Bitdefender. No fue hasta noviembre de 2020 que Wyze finalmente se comunicó con Bitdefender y las soluciones finales no se implementaron hasta enero de 2022.

Captura de pantalla de un correo electrónico de Wyze:

Correo electrónico enviado a los clientes de Wyze el 6 de enero de 2022 (Fuente: The Verge)

Wyze no solo no actuó rápidamente y no se asoció con Bitdefender para abordar las vulnerabilidades de seguridad, sino que la empresa nunca reconoció la vulnerabilidad a sus clientes. Wyze dijo El borde que la empresa ha sido transparente con sus clientes y “solucionó el problema por completo”, pero la Wyze Cam original nunca recibió una solución y aparentemente la empresa nunca informó a los clientes sobre este problema en particular.

Wyze no ha publicado una declaración pública sobre las vulnerabilidades de seguridad en su Cuenta de Twitter u otras cuentas de redes sociales, al momento de la publicación de este artículo.

Fuente: El borde, Bitdefender

Leave a Comment