Wyze a découvert une faille de sécurité de la caméra en 2019 et n’en a parlé à personne

Wyze vend des caméras de sécurité intelligentes abordables depuis la première Wyze Cam en 2017, et s’est également étendue à d’autres catégories de produits (comme les écouteurs). Cependant, la société a également eu sa juste part de problèmes, et un autre problème majeur est apparu : les pirates pourraient accéder aux flux vidéo de Wyze Cams.

Bitdefender a divulgué publiquement mardi une série de vulnérabilités de sécurité dans les caméras de sécurité Wyze, affectant Wyze Cam Pan v2 (avant le 4.49.1.47), Wyze Cam v2 (avant le 4.9.8.1002), Wyze Cam v3 (avant le 4.36.8.32) et l’original Wyze Cam sur toutes les versions de firmware. La première vulnérabilité, connue sous le nom de CVE-2019-9564, permettait aux pirates de contourner les connexions des appareils Wyze et d’accéder aux commandes de la caméra. Bitdefender a également découvert une vulnérabilité de débordement de tampon de pile (CVE-2019-12266), qui, lorsqu’elle est utilisée en combinaison avec la première faille de sécurité, peut être utilisée pour obtenir un accès à distance au flux vidéo d’une caméra.

XDA-Developers VIDÉO DU JOUR

L’exploitation de cette faille de sécurité nécessite de connaître l’ID initial de la caméra, qui est une chaîne aléatoire qui ne peut être enregistrée qu’en rejoignant le même réseau local que la caméra. Cela limite considérablement la portée de la faille de sécurité, car un pirate informatique devrait d’abord accéder à votre réseau domestique avant d’accéder au flux vidéo d’une caméra Wyze.

Le principal problème ici n’est pas réellement la vulnérabilité de sécurité, c’est la façon dont Wyze géré la vulnérabilité Bitdefender indique qu’elle a contacté Wyze à deux reprises, d’abord le 6 mars 2019 et de nouveau le 15 mars 2019, et n’a apparemment reçu aucune réponse. Au cours des mois suivants, Wyze a mis à jour certaines de ses caméras avec un correctif partiel de la vulnérabilité de connexion, toujours sans répondre à Bitdefender. Ce n’est qu’en novembre 2020 que Wyze a finalement contacté Bitdefender et les correctifs finaux n’ont été mis en œuvre qu’en janvier 2022.

Capture d'écran d'un e-mail de Wyze : "Vous protéger et protéger votre sécurité est toujours la chose la plus importante, et pour que nous puissions le faire, nous aurons besoin que vous mettiez à jour votre application Wyze et que vous mettiez à jour le micrologiciel de votre Wyze Cam.  Cela garantira que vos appareils sont en parfait état afin que vous puissiez respirer tranquillement en sachant que Wyze est là pour vous."

E-mail envoyé aux clients Wyze le 6 janvier 2022 (Source : The Verge)

Non seulement Wyze n’a pas agi rapidement et n’a pas travaillé avec Bitdefender pour résoudre les problèmes de sécurité, mais l’entreprise n’a pas non plus reconnu la vulnérabilité de ses clients. wize a dit le bord que la société a été transparente avec ses clients et “a complètement résolu le problème”, mais la Wyze Cam d’origine n’a jamais reçu de correctif et la société n’a apparemment jamais informé les clients de ce problème spécifique.

Wyze n’a pas publié de déclaration publique sur les failles de sécurité de son Compte Twitter ou d’autres comptes de médias sociaux, à compter de la date de publication de cet article.

La source: Le bord, Bitdefender

Leave a Comment