Wyze connaissait les vulnérabilités des caméras qui permettaient à des inconnus de regarder vos flux et vos enregistrements

Wyze Connaissait Les Vulnérabilités Des Caméras Qui Permettaient à Des

WTF ? ! Êtes-vous un utilisateur de longue date des caméras Wyze ? Ensuite, voici une mauvaise nouvelle : une vulnérabilité a été découverte qui pourrait permettre à des inconnus d’accéder à distance et sans autorisation aux caméras de sécurité à domicile de l’entreprise, et il a fallu trois ans à Wyze pour la réparer.

Les chercheurs en sécurité de Bitdefender ont découvert trois vulnérabilités dans les caméras Wyze en 2019. L’une permettait aux pirates de contourner le processus d’authentification pour obtenir une connexion et un contrôle à distance des caméras, notamment en les inclinant et en les éteignant, bien qu’ils ne puissent pas voir le flux distant crypté. Cependant, le deuxième problème était l’un des débordements de tampon de pile standard, permettant aux attaquants d’accéder au flux en direct combiné au contournement de l’authentification à distance.

La troisième vulnérabilité permettait d’accéder au contenu de la carte SD de la caméra via un serveur Web écoutant sur le port 80 sans nécessiter d’authentification. Certains utilisateurs évitent les frais d’abonnement au cloud de l’entreprise et stockent à la place leurs enregistrements sur une carte SD locale, qui contient également des fichiers journaux de l’appareil tels que l’UID (numéro d’identification unique) et l’ENR (clé de cryptage AES).

Bitdefender a contacté Wyze pour la première fois en mars 2019 et a partagé des informations sur ces vulnérabilités de preuve de concept. La faille de contournement d’authentification (CVE-2019-9564) a été corrigée par une mise à jour de sécurité Wyze le 24 septembre 2019, et ce n’est que le 9 novembre 2020, 21 mois après sa découverte, qu’une mise à jour de l’application a corrigé la vulnérabilité d’exécution à distance. (CVE-2019-12266).

Le problème de la carte SD semble avoir été traité de manière encore pire par Wyze. Il a été résolu dans une mise à jour du micrologiciel qui a été publiée le 29 janvier 2022 et qui n’était disponible que pour Wyze Cam v2 et v3, qui ont été publiées en février 2018 et octobre 2020, respectivement. La Wyze Cam v1 lancée en août 2017 est restée vulnérable, écrit Bleeping Computer. Wyze a arrêté cet appareil photo de première génération en janvier sans dire pourquoi.

Wyze connaissait les vulnerabilites des cameras qui permettaient a des

Wyze a dit à ses clients que « votre utilisation continue de la WyzeCam après le 1er février 2022 comporte un risque accru, est découragée par Wyze et est entièrement à vos risques et périls ».

La plupart des chercheurs accordent aux entreprises un délai de grâce, souvent de 30 à 90 jours, pour divulguer toute vulnérabilité découverte avant de le faire eux-mêmes. Parfois, ceux qui ont découvert le problème sautent le pas ; en 2018, Epic Games a fustigé Google pour avoir divulgué tôt un exploit Fortnite Android. Alors pourquoi Bitdefender a-t-il attendu si longtemps ? Le directeur des relations publiques de la société, Steve Fiore, a déclaré à The Verge :

Nos conclusions étaient si sérieuses que notre décision, quelle que soit notre politique habituelle de prolongation de la période de grâce de 90 jours, était que la publication de ce rapport sans la reconnaissance et l’atténuation de Wyze allait exposer potentiellement des millions de clients avec des implications inconnues. D’autant plus que le fournisseur n’avait pas connu (de nous) de processus/cadre de sécurité en place. Wyze en a effectivement mis en place un l’année dernière à la suite de nos découvertes (https://www.wyze.com/pages/security-report).

Nous avons retardé la publication des rapports (caméras iBaby Monitor M6S) pendant de plus longues périodes pour la même raison auparavant. L’impact de la publication des résultats, associé à notre manque d’informations sur la capacité du fournisseur à faire face aux retombées, a dicté notre attente.

Nous comprenons que ce n’est pas nécessairement une pratique courante chez d’autres chercheurs, mais divulguer les résultats avant que le fournisseur ne fournisse des correctifs aurait mis beaucoup de gens en danger. Ainsi, lorsque Wyze a finalement communiqué avec nous et nous a fourni des informations crédibles sur sa capacité à résoudre les problèmes signalés, nous avons décidé de lui accorder du temps et de lui accorder des prolongations.