O que você precisa saber
- A linha de câmeras de segurança da Wyze foi suscetível a hackers por anos.
- A empresa sabia sobre a principal falha de segurança, mas não contou aos clientes.
- Wyze apenas encerrou o suporte para algumas das câmeras afetadas, pois não pôde lançar uma correção devido a limitações de hardware.
Se você ainda estiver usando uma Wyze Cam v1 agora, provavelmente é uma boa ideia parar de usar a câmera de segurança imediatamente. Parece que uma grande vulnerabilidade permitiu que invasores acessassem seus vídeos armazenados ou assistissem a você em segredo, e a Wyze não informou os clientes nos três anos desde que soube da falha de segurança.
Bitdefender revelou que descobriu uma vulnerabilidade na linha de câmeras de segurança Cam da Wyze em março de 2019 e notificou a empresa sobre isso (via A Beira). No entanto, Wyze não respondeu até novembro de 2020.
“Enquanto analisamos o dispositivo Wyze Cam, identificamos várias vulnerabilidades que permitem que um invasor externo acesse o feed da câmera ou execute código malicioso para comprometer ainda mais o dispositivo”, disse a Bitdefender.
Wyze disse em um postagem do blog que o escopo da falha é limitado, pois um hacker precisa primeiro obter acesso ao seu Wi-Fi doméstico antes de poder visualizar os vídeos armazenados da câmera.
“Primeiro gostaríamos de informar aos nossos usuários que essas vulnerabilidades exigem alguma forma de acesso à rede local”, explicou Wyze. “Então, você teria que expor sua rede local diretamente ao mau ator ou à Internet em geral para que essas vulnerabilidades pudessem ser exploradas remotamente”.
Felizmente para os proprietários das melhores câmeras de segurança interna da Wyze, incluindo os proprietários do Cam v2 e v3, um patch foi lançado no final de janeiroconforme Computador apitando. Mas isso também significa que a empresa demorou a tomar medidas para corrigir a falha. Nos últimos três anos, as câmeras Cam v1, v2 e v3 da Wyze foram suscetíveis a hackers.
No entanto, o Cam v1 foi deixado de fora, com Wyze simplesmente encerrando o suporte para ele em fevereiro, já que esse modelo específico “não podia suportar as atualizações de segurança necessárias” devido à sua memória limitada. Embora o problema tenha sido corrigido para modelos mais recentes, a Wyze nunca informou os clientes sobre a natureza da falha de segurança, mantendo-os no escuro.
“Bitdefender e Wyze levam a sério a segurança dos usuários afetados”, disse Wyze em seu blog. “Sabendo que estávamos trabalhando ativamente na mitigação de riscos e atualizações corretivas, chegamos à conclusão juntos que era mais seguro ser prudente sobre os detalhes até que as vulnerabilidades fossem corrigidas”.
Não está claro se a falha foi explorada, mas teria dado aos invasores acesso ao conteúdo do cartão SD da sua câmera.
The Verge também levantou questões sobre a divulgação tardia da Bitdefender. Seu diretor de relações públicas, Steve Fiore, disse à agência de notícias que “divulgar as descobertas antes de o fornecedor fornecer os patches colocaria muitas pessoas em risco”.
No entanto, não é comum que pesquisadores de segurança esperem três anos antes de divulgar vulnerabilidades.