Wyze était au courant d’une faille de sécurité majeure de la caméra depuis trois ans

Les entreprises technologiques ne divulguent pas toujours les failles de sécurité en temps opportun, mais Wyze n’en a apparemment révélé aucune. Quoi bip de l’ordinateur et le bord Explique, Bitdefender ha revelado que informó a Wyze de una importante vulnerabilidad de seguridad en Wyze Cam v1 en marzo de 2019, pero que el fabricante del dispositivo no informó a los clientes, retiró el producto ni solucionó completamente el problema en los tres años transcurridos desde ensuite. En fait, Wyze n’a pas pu résoudre complètement le problème ; bien qu’il l’ait atténué avec des correctifs, il est maintenant clair que la société a arrêté la caméra en janvier parce que des “limitations matérielles” ont empêché une mise à jour appropriée.

La vulnérabilité permettait aux attaquants de contrôler à distance la caméra sans connaître la valeur normalement requise pour l’authentification. Bien qu’ils ne puissent pas voir la vidéo en direct car elle était cryptée, ils pouvaient diriger la caméra, l’éteindre et accéder aux vidéos enregistrées sur la carte SD. Wyze a corrigé le bug de ses caméras v2 et v3 fin janvier.

Wyze a été lent à réagir et n’a pas pleinement partagé la nature de la faille de sécurité. Bitdefender a noté que Wyze n’a accusé réception de l’avertissement qu’en novembre 2020, un an et demi après sa livraison. Et bien qu’il ait dit aux clients qu’il avait arrêté la Wyze Cam v1 en raison d’une incompatibilité avec une mise à jour de sécurité, il n’a pas dit aux utilisateurs qu’il s’agissait d’un bogue connu d’il y a trois ans. Kyle Christensen, porte-parole de It Wyze, a déclaré le bord que l’entreprise avait été transparente et avait “entièrement corrigé” le problème, mais en pratique, l’entreprise n’avait dit aux propriétaires que l’utilisation de la caméra v1 après le 1er février comportait “un risque plus élevé”.

On ne sait pas si des pirates ont profité de la faille, mais les conséquences potentielles étaient graves. Un intrus aurait pu regarder les activités passées dans la maison ou désactiver la caméra avant une effraction.

Il y a aussi des questions concernant la divulgation très tardive de Bitdefender. Le directeur des relations publiques de la société, Steve Fiore, a déclaré le bord ce qui retarde la publication des rapports lorsqu’il n’est pas certain qu’un fournisseur puisse traiter un problème de manière adéquate. Il ne voulait pas exposer “potentiellement des millions” d’utilisateurs de Wyze Cam en partageant les détails de l’exploit avec le public. Cependant, les chercheurs en sécurité révèlent généralement des failles en quelques semaines, et non en années ; même le plus prudent Project Zero de Google partage les détails techniques dans les 90 jours. Bien qu’il ne soit pas toujours facile pour les entreprises technologiques de remédier rapidement aux vulnérabilités, les divulgations peuvent aider à faire pression sur les entreprises pour qu’elles résolvent des problèmes de sécurité qui pourraient autrement ne pas être résolus.

Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.

Leave a Comment