更新时间:2023-09-08 15:04:41
所有技术公司都经常面临安全问题,努力消除漏洞并确保尽快关闭任何漏洞。您的手机每月收到一个安全补丁是有原因的,而且在大多数情况下,它应该与您的所有其他设备相同。无论是通过漏洞赏金计划还是专门的组织,所有科技公司都依赖第三方报告安全问题。不幸的是,智能家居生态系统中的主要参与者花费的时间比任何人想要修补其硬件中的重大缺陷的时间都要长。
Bitdefender 发表了一篇博客文章,概述了 Wyze 的一些安全问题,Wyze 是每个人最喜欢的廉价智能家居设备选择。通常,这件事不会引起关注——组织向公司报告漏洞,制造商采取行动关闭它,一旦安全,第一组可以报告其发现。在这种情况下,Bitdefender确实等待 Wyze 锁定其小工具——仅用了将近三年的时间就完全修复了该漏洞。自发布报告以来,Wyze 发表了一份声明. Wyze 说:“我们已经修复了这些问题,并且在 2022 年 2 月报告中发现的最后一个本地漏洞的最终关键安全更新发布后,我们不再考虑这种情况。”
根据 Bitdefender 的说法,该组织希望在 90 天后报告其发现——这是大多数信息安全专家在公开研究之前等待的标准时间框架。但是智能家居设备可能很棘手,尤其是因为它通常为潜在的攻击者提供了访问您家中的摄像头和麦克风的权限。该公司早在 2019 年 3 月就联系了 Wyze,但当 6 月到来时——即 90 天窗口的结束——它还没有得到修复。Wyze 说:“我们在收到通知后的一个月内发布了第一个补丁,随着时间的推移,我们在接下来的几个月中继续通过额外的补丁来降低这些漏洞的风险。” 正如 Wyze 所证实的那样,直到 2022 年 2 月的更新,它才认为该漏洞已完全修复。
更糟糕的是,Bitdefender 报告的漏洞与智能摄像头制造商的想象一样严重。尽管 Wyze 的相机需要通过身份验证过程才能连接,但该组织能够完全绕过它,获得对设备的完全访问权限。这包括打开或关闭相机、禁用 SD 卡记录以及在支持的设备上倾斜和平移的能力。
值得注意的是,研究人员无法绕过实时提要的加密来查看正在进行的活动——至少在没有进一步行动的情况下是这样。当与身份验证绕过结合使用时,基于堆栈的缓冲区溢出允许实时访问——基本上是最坏的情况——而攻击者还可以通过网络服务器上的未经授权的连接查看 SD 卡中的记录。
Wyze 说:“我们首先想让我们的用户知道这些漏洞需要某种形式的本地网络访问。因此,您必须将您的本地网络直接暴露给不良行为者或将这些漏洞暴露给整个互联网。可以远程利用。” 不过,这并不能准确解释如何利用此漏洞。Bitdefender 告诉The Verge,“远程(来自网络外部)攻击需要一个初始相机 ID(它是一个完全随机且不可预测的字符串),只有在与设备位于同一网络时才能获取该 ID。换句话说,如果有人连接到您的家庭 WiFi,他们可以获得该令牌,稍后,
未来,Wyze 表示希望对安全漏洞采取更快的行动。为此,它聘请了一个专门的安全工程师团队,据该公司称,他们“专门致力于响应安全事件并加强对我们用户的保护”。
当然,这里的好消息是 Wyze已经修复了其安全性中的这些漏洞——这就是 Bitdefender 最终发布其白皮书的原因。但令人担忧的是,该组织三年前报告了这些漏洞,只是这些问题没有得到解决。即使发布了补丁,也不是每个 Wyze 用户都是安全的——它最早的相机仍然不安全。如果您仍在运行第一代 Wyze Cam——当然,这不是大多数人——你应该断开它并尽快升级到更新的型号。对该模型的支持于 2 月结束,并且它不会看到任何未来的更新。Wyze 对此问题的回应说:“我们强烈建议我们的客户不再使用 EOL [终止生命] 产品,因为不再提供安全和其他关键更新,我们继续敦促 Wyze Cam v1 所有者停止使用这些产品。”