Wise hat gewusst, dass Hacker drei Jahre lang aus der Ferne auf Ihre Kamera zugreifen können, und sie haben nichts gesagt

Ich habe gerade meine Wyze-Überwachungskameras in den Müll geworfen. Ich bin fertig mit dieser Firma.

Das habe ich gerade gelernt In den letzten drei JahrenWyze war sich einer Sicherheitslücke in seinen Heimüberwachungskameras bewusst, die es Hackern ermöglichen könnte, online in Ihr Zuhause einzudringen – entschied sich jedoch dafür, sie unter den Teppich zu kehren. Und das Sicherheitsunternehmen, das die Schwachstelle entdeckte, erlaubte ihnen dies.

Anstatt daran zu basteln, anstatt sich daran zu erinnern, anstatt nur, weißt du, Sag etwas Damit ich aufhören kann, diese Kameras auf meine Kinder zu richten, Wyze hat einfach entschieden, WyzeCam v1.0 einzustellen Im Januar dieses Jahres ohne eine vollständige Erklärung. Aber am Dienstag, Sicherheitsforschungsunternehmen Bitdefender bringen endlich Licht ins Dunkel Warum Wyze den Verkauf eingestellt hat: Weil jeder online auf die SD-Karte Ihrer Kamera zugreifen, den Verschlüsselungsschlüssel stehlen und anfangen konnte, seinen Video-Feed anzusehen und herunterzuladen.

Es gibt keinen Ort, an dem Wyze so etwas zu Kunden wie mir sagen würde. Nicht, als ich die Kamera ausgeschaltet habe, nicht in den drei Jahren, seit Bitdefender Wyze im März 2019 darauf aufmerksam gemacht hat, und das hat es wahrscheinlich nie getan: Kyle Christensen, Sprecher von Wyze, sagte mir, dass es in Bezug auf das Unternehmen bereits transparent gewesen sei Kunden und habe „das Problem vollständig behoben“. Aber Wyze hat es nur für neuere Versionen von WyzeCam gepatcht und bis dahin nur die Versionen 2 und 3 am 29. Januar 2022 gepatcht. entsprechend PC.

In Bezug auf die Transparenz ist das Beste, was ich für Wyze-Kunden gesehen habe, dass „Ihre fortgesetzte Nutzung der WyzeCam nach dem 1. Februar 2022 erhöhte Risiken birgt und von Wyze entmutigt werden kann und vollständig auf Ihr eigenes Risiko erfolgt“. Er schickt auch manchmal obskure E-Mails wie diese an seine Kunden, was ich früher sehr geschätzt habe, aber jetzt frage ich mich rückwirkend:

Wenn ich diese Worte über „erhöhtes Risiko“ lese für uns Kante Post In Bezug auf die Ablehnung von WyzeCam v1 erinnere ich mich, dass ich dachte, es sei gerade erwähnt worden Zukunft Sicherheitsupdates – Keine größere Schwachstelle, die tatsächlich existiert.

Hier ist jedoch eine andere Frage: Warum um alles in der Welt hat Bitdefender dies nicht volle drei Jahre lang enthüllt, wenn es Wiz zum Handeln gezwungen hätte?

Nach Angaben des Sicherheitsforschungsunternehmens Offenlegungszeitplan (PDF)Sie sind im März 2019 bei Wyze angekommen und haben nicht einmal eine Akte erhalten Antwort Bis November 2020, ein Jahr und acht Monate später. Bitdefender hat sich jedoch entschieden, bis gestern zu schweigen.

Falls Sie sich fragen, nein, das ist in der Sicherheitsgemeinschaft nicht normal. Während Experten mir sagen, dass das Konzept eines „Responsible Disclosure Schedule“ etwas veraltet und stark situationsabhängig ist, messen wir im Allgemeinen TageUnd nicht Jahre. „Die Mehrheit der Forscher hat Richtlinien, nach denen sie es innerhalb von 30 Tagen öffentlich machen, wenn sie sich in gutem Glauben bemühen, den Verkäufer zu erreichen, und keine Antwort erhalten“, auf Facebook, Alex Stamos, Direktor des Stanford Internet Observatory und ehemaliger Sicherheitschef Offizier, sagte Facebook.

„Sogar die US-Regierung hat 45-tägige Offenlegungsfrist Katie Mousoris, Gründerin und CEO von Luta Security und Co-Autorin der internationalen ISO-Standards für Schwachstellenerkennung und -behebung, schrieb.

Ich habe Bitdefender danach gefragt, und PR-Manager Steve Fiore hatte eine Erklärung, aber es hat bei mir nicht funktioniert. Und hier ist es in voller Länge:

Unsere Feststellungen waren sehr ernst, und unsere Entscheidung war, ungeachtet unserer üblichen 90-tägigen Verlängerungsrichtlinie mit Nachfrist, dass die Veröffentlichung dieses Berichts ohne die Bestätigung und Milderung von Wyze Millionen von potenziellen Kunden mit unbekannten Auswirkungen konfrontiert hätte. Zumal der Verkäufer kein bekanntes (uns) Sicherheits-Framework/-Verfahren hatte. Aufgrund unserer Ergebnisse hat Wyze letztes Jahr tatsächlich eine implementiert (https://www.wyze.com/pages/security-report).

Aus demselben Grund haben wir die Veröffentlichung von Berichten (iBaby Monitor M6S-Kameras) für längere Zeit verzögert. Die Auswirkungen der Veröffentlichung der Ergebnisse sowie unser Mangel an Informationen über die Fähigkeit des Anbieters, mit den Folgen umzugehen, zwangen uns, zu warten.

Wir verstehen, dass dies bei anderen Forschern nicht unbedingt üblich ist, aber die Offenlegung von Ergebnissen, bevor ein Anbieter Korrekturen anbietet, würde viele Menschen gefährden. Als Wyze sich schließlich an uns wandte und uns zuverlässige Informationen über seine Fähigkeit zur Behebung gemeldeter Probleme lieferte, beschlossen wir, ihnen Zeit zu geben und uns Verlängerungen zu gewähren.

Abwarten macht manchmal Sinn. Die beiden Experten, mit denen ich gesprochen habe, Mossoris und Stamos, sind beide unabhängig voneinander aufgewachsen Notorische Meltdown-PC-Schwachstellen Als Beispiel für die Abwägung von Sicherheit und Erkennung – aufgrund der Anzahl der betroffenen Personen, der Tiefe der Computer und der Schwierigkeit, sie zu reparieren.

Aber eine 20-Dollar-Consumer-Smart-Home-Kamera, die in meinem Regal steht? Wenn Bitdefender vor zwei Jahren eine Pressemitteilung veröffentlichte, dass Wyze einen nicht behobenen Defekt hatte, wäre es sehr einfach, die Verwendung dieser Kamera einzustellen, keine zu kaufen und stattdessen eine andere zu wählen. „Es gibt eine einfache Strategie zur Risikominderung für betroffene Kunden“, sagt Stamos.

Das von Bitdefender gegebene iBaby Monitor-Beispiel ist auch lächerlich – denn da ist es tatsächlich Bitdefender Handlung Zwingen Sie das Unternehmen zum Handeln. wann Bitdefender und PCMag wurden enthüllt Dass die Babyüberwachungsfirma die Sicherheitslücke nicht geschlossen hat, veranlasste die daraus resultierende schlechte Publicity dazu, sie zu beheben Nur drei Tage später.

Tage, nicht Jahre.

Foto von Sean Hollister/The Verge

Wenn Sie mich jetzt entschuldigen würden, ich muss mich verabschieden Die Wyze-Kopfhörer, die ich liebe, weil ich es ernst meine, meinen Wyze-Job zu beenden. Sie sind bereit, abzuschreiben Das katastrophale Unternehmensdatenleck von 2,4 Millionen Kunden Als Fehler, aber hier scheint das Unternehmen nichts falsch gemacht zu haben. Wenn diese Mängel schlimm genug sind, um die Kamera 2022 abzuschalten, verdienen es die Kunden, 2019 davon zu erfahren.