A falha de segurança da WyzeCam não deveria ter sido mantida em segredo

abril 3, 2022 gurinho

Quando você coloca uma câmera de segurança em sua casa, é para ficar de olho nas coisas por si mesmo – para não deixar hackers espiarem sua casa pela Internet.

A possibilidade de que alguém esteja do outro lado da lente da câmera enegrecida tem sido uma preocupação para muitos proprietários, e uma das razões pelas quais a tecnologia de casa inteligente ainda não pegou totalmente. As potenciais implicações de privacidade são enormes, mas as empresas constantemente asseguram aos consumidores que quaisquer vulnerabilidades foram corrigidas e que os usuários estão seguros.

Todas as empresas, exceto Wyze, aparentemente.

A WyzeCam fica em uma mesa com uma câmera em segundo plano. — Daven Mathies/Tendências Digitais

Varrendo a segurança para debaixo do tapete

No início deste ano, a Wyze descontinuou a WyzeCam v1 sem muita explicação. Não foi feito muito disso; com a disponibilidade do WyzeCam v3 , descontinuar um modelo anterior parecia uma decisão óbvia.

Mas em 29 de março, a empresa de segurança Bitdefender revelou outro possível motivo pelo qual a empresa parou de vender a câmera: uma vulnerabilidade de segurança que possibilitou que hackers acessassem a câmera pela internet, fugissem com sua chave de criptografia e até baixassem o vídeo da câmera. alimentação.

A Bitdefender diz que o problema foi trazido à atenção da Wyze em 2019. Se for verdade, a Wyze sabe dessa falha de segurança há três anos, mas os consumidores não.

A Wyze fez uma declaração de que “o uso contínuo da WyzeCam após 1º de fevereiro de 2022 acarreta um risco maior, é desencorajado pela Wyze e é inteiramente por sua conta e risco”. Não houve explicação do motivo pelo qual a mensagem foi enviada, nem qualquer reconhecimento do risco potencial que os consumidores enfrentaram nos últimos anos.

Um close-up da Wyze Cam v3. — John Velasco / Tendências Digitais

O problema foi corrigido no WyzeCam v2 e v3, mas isso não é suficiente. Quando uma falha de segurança desse tamanho é descoberta, ela deve ser reconhecida e corrigida, mesmo que os produtos precisem ser recolhidos.

Um resumo do problema em termos não técnicos: Hackers podem acessar a câmera sem verificar sua identidade acessando uma porta específica devido à forma como os cartões SD são endereçados no sistema. De acordo com o BleepingComputer, essa parte do problema foi corrigida em 24 de setembro de 2019.

Outra parte foi corrigida com uma atualização em 9 de novembro de 2020, 21 meses completos após sua descoberta inicial. A maior parte da exploração – a capacidade de hackers acessarem conteúdo no cartão SD da sua câmera – não foi corrigida até 29 de janeiro de 2022.

Deixe-me apontar algo importante aqui: essas atualizações de segurança estão disponíveis apenas no WyzeCam v2 e v3. O WyzeCam v1 ainda é vulnerável e sempre será. Se você estiver usando um desses dispositivos, considere desconectá-lo e jogá-lo – talvez de uma janela do terceiro andar?

Não é a primeira vez

Nenhum dispositivo é totalmente invulnerável a hackers. O Ring sofreu com vulnerabilidades no passado e, em novembro de 2021, uma rede doméstica inteligente na Coréia do Sul sofreu uma das violações de segurança mais difundidas de qualquer dispositivo inteligente até agora.

Em 2018, um homem alegou que um hacker falou com ele através de sua Nest IQ Cam. A diferença é que esse hacker avisou o homem que seu dispositivo era vulnerável e sugeriu melhorias de segurança, depois se desculpou por assustá-lo.

O Nest Cam IQ em uma casa. — Terry Walsh/Tendências Digitais

Na próxima vez que o Nest foi hackeado (em 2019), o resultado final não foi tão emocionante. Uma família em Illinois foi insultada por um hacker que gritou insultos raciais para eles através de sua câmera, antes que o hacker sequestrasse o termostato inteligente e elevasse a temperatura da casa para 90 graus.

A Wyze não é a primeira empresa a sofrer de vulnerabilidades de segurança, mas é a primeira empresa (até onde sabemos) que parecia ignorar completamente o problema. A Ring e a Nest reconheceram as falhas, pediram desculpas e procuraram corrigir o problema. O silêncio de rádio de Wyze sobre esta questão é preocupante e estabelece um precedente pobre para a confiança do consumidor.

O que você pode fazer

As câmeras de segurança ainda têm um lugar na casa. Há muitas razões fortes para continuar usando câmeras, seja para vigiar seus animais de estimação ou cuidar de um parente idoso. Existem muitas marcas para escolher que não sofreram violações de segurança horríveis.

Você só precisa de uma câmera de segurança com um obturador de privacidade físico . Um obturador mecânico significa que você sabe exatamente quando a câmera está transmitindo e quando não está. A abertura do obturador é frequentemente acompanhada por um clique audível ou um sinal sonoro da câmera.

A maioria das câmeras com obturadores de privacidade físicos permite que você as feche automaticamente quando a câmera não estiver em uso. Mesmo monitores inteligentes como o Echo Show 15 têm um obturador de privacidade, embora esse tenha que ser aberto e fechado manualmente.

Você também deve tomar decisões conscientes ao comprar uma câmera de segurança doméstica. Pesquise quais marcas valorizam mais a privacidade . Acidentes e hacks vão acontecer – isso é inevitável. O que importa é como as empresas reagem. Eles reconhecem o problema e se esforçam para corrigi-lo ou fingem que não há problema e deixam seus clientes vulneráveis?

Minha WyzeCam está desconectada. E continuará assim até que eu tenha certeza de que o problema está realmente resolvido.