Η Bitdefender δημοσίευσε μια ανάρτηση που περιγράφει ορισμένες ανησυχίες σχετικά με την ασφάλεια γύρω από την εταιρεία Wyze (Wyze Labs), μια καλή επιλογή για οικονομικό έξυπνο οικιακό εξοπλισμό. Συνήθως, αυτού του είδους τα θέματα δεν προκαλούν ανησυχία στους χρήστες – ένας οργανισμός αναφέρει μια ευπάθεια στην εταιρεία, ο κατασκευαστής αναλαμβάνει δράση για να την κλείσει και μόλις είναι ασφαλές, αυτή η πρώτη ομάδα μπορεί να αναφέρει τα ευρήματά της. Σε αυτήν την περίπτωση, η Bitdefender περίμενε όντως η Wyze να διορθώσει τις ευπάθειες στα gadget της – χρειάστηκαν τρία χρόνια για να γίνει οποιαδήποτε ενέργεια.
Δείτε επίσης: Hive ransomware: Χρησιμοποιεί νέο τέχνασμα για να κρύψει το payload
Οι έξυπνες κάμερες είναι ένα ευαίσθητο θέμα λόγω της σημασίας τους σε ένα νοικοκυριό. Συχνά χρησιμοποιούνται για την παρακολούθηση παιδιών, αυλών και άλλων δωματίων του σπιτιού, που σημαίνει ότι συλλέγουν δεδομένα που πραγματικά δεν πρέπει να καταλήξουν στα χέρια των επιτιθέμενων.
Σύμφωνα με την Bitdefender, η ομάδα ήθελε να αναφέρει τα ευρήματά της μετά από 90 ημέρες – το τυπικό χρονικό πλαίσιο που περιμένουν οι περισσότεροι infosec ειδικοί πριν δημοσιεύσουν την έρευνά τους. Ο έξυπνος εξοπλισμός για το σπίτι μπορεί να αποδειχτεί πολύ επικίνδυνος, επειδή συνήθως παρέχει στους πιθανούς εισβολείς πρόσβαση σε κάμερα και μικρόφωνο ακριβώς μέσα στο σπίτι σας. Η εταιρεία επικοινώνησε με τη Wyze τον Μάρτιο του 2019, αλλά μέχρι και τον Ιούνιο – το τέλος αυτού του παραθύρου των 90 ημερών – τίποτα δεν είχε διορθωθεί.
Δείτε επίσης: Zero-day στο Java Spring επιτρέπει απομακρυσμένη εκτέλεση κώδικα
Τα τρωτά σημεία που αναφέρθηκαν από την Bitdefender είναι τόσο σοβαρά όσο θα μπορούσατε να φανταστείτε για έναν κατασκευαστή έξυπνης κάμερας. Αν και οι κάμερες του Wyze απαιτούν μια διαδικασία ελέγχου ταυτότητας για να συνδεθούν, αυτή η ομάδα μπόρεσε να την παρακάμψει πλήρως, αποκτώντας πλήρη πρόσβαση στη συσκευή. Αυτό περιλαμβάνει τη δυνατότητα ενεργοποίησης ή απενεργοποίησης της κάμερας, απενεργοποίησης της εγγραφής κάρτας SD και “tilt and pan” σε υποστηριζόμενες συσκευές.
Να σημειώσουμε ότι οι ερευνητές δεν μπόρεσαν να παρακάμψουν την κρυπτογράφηση του live feed για να δουν τις συνεχείς δραστηριότητες αλλά ένα stack-based buffer overflow θα μπορούσε να επιτρέψει τη live πρόσβαση όταν συνδυάζεται με την παράκαμψη ελέγχου ταυτότητας – αυτό είναι το χειρότερο σενάριο που θα μπορούσε να πραγματοποιηθεί από κάποιον χάκερ. Η τρίτη ευπάθεια θα μπορούσε να επιτρέψει στους εισβολείς να δουν και εγγραφές από την κάρτα SD μέσω μιας μη εξουσιοδοτημένης σύνδεσης στον webserver.
Δείτε επίσης: Apple και Meta μοιράστηκαν δεδομένα με hackers που προσποιούνταν ότι ήταν ερευνητές
Η Wyze διόρθωσε αυτές τις τρύπες στην ασφάλειά της — γι' αυτό η Bitdefender δημοσίευσε επιτέλους τα ευρήματα. Αλλά είναι σίγουρα ανησυχητικό ότι η ομάδα ανέφερε αυτές τις ευπάθειες πριν από τρία χρόνια, μόνο και μόνο για να μείνουν αδιόρθωτες. Ακόμη και μετά την έκδοση ενημερώσεων κώδικα, δεν είναι ασφαλής κάθε χρήστης της Wyze – οι παλαιότερες κάμερές του εξακολουθούν να μην είναι ασφαλείς. Εάν εξακολουθείτε να χρησιμοποιείτε μια πρώτης γενιάς κάμερα Wyze θα πρέπει να την αποσυνδέσετε και να την αναβαθμίσετε σε νεότερο μοντέλο το συντομότερο δυνατό. Η υποστήριξη για αυτό το μοντέλο έληξε τον Φεβρουάριο και δεν θα δει μελλοντικές ενημερώσεις.
Πηγή πληροφοριών: androidpolice.com
