Il difetto di sicurezza di WyzeCam non avrebbe dovuto essere tenuto segreto

Quando metti una telecamera di sicurezza nella tua casa, è per tenere d’occhio le cose per te stesso, non per permettere agli hacker di scrutare attraverso Internet nella tua casa.

La possibilità che qualcuno si trovi dall’altra parte dell’obiettivo della fotocamera annerito è stata a lungo una preoccupazione per molti proprietari di case e uno dei motivi per cui la tecnologia della casa intelligente deve ancora prendere piede. Le potenziali implicazioni sulla privacy sono enormi, ma le aziende hanno costantemente rassicurato i consumatori sul fatto che eventuali vulnerabilità sono state corrette e che gli utenti sono al sicuro.

Tutte le compagnie tranne Wyze, a quanto pare.

La WyzeCam si trova su una scrivania con una telecamera sullo sfondo.

Sicurezza nascosta sotto il tappeto

All’inizio di quest’anno, Wyze ha interrotto la produzione di WyzeCam v1 senza molte spiegazioni. Non se ne fece molto; con la disponibilità di WyzeCam v3 , interrompere un modello precedente sembrava una decisione ovvia.

Ma il 29 marzo, la società di sicurezza Bitdefender ha rivelato un altro possibile motivo per cui l’azienda ha smesso di vendere la videocamera: una vulnerabilità di sicurezza che ha reso possibile agli hacker di accedere alla videocamera tramite Internet, scappare con la tua chiave di crittografia e persino scaricare il video della videocamera foraggio.

Bitdefender afferma che il problema è stato portato all’attenzione di Wyze nel 2019. Se fosse vero, Wyze è a conoscenza di questo difetto di sicurezza da tre anni, ma i consumatori no.

Wyze ha dichiarato che “l’uso continuato di WyzeCam dopo il 1 febbraio 2022 comporta un rischio maggiore, è scoraggiato da Wyze ed è interamente a proprio rischio”. Non c’era alcuna spiegazione del motivo per cui il messaggio fosse stato inviato, né alcun riconoscimento del potenziale rischio che i consumatori hanno affrontato negli ultimi anni.

Un primo piano della Wyze Cam v3.

Il problema è stato risolto con WyzeCam v2 e v3, ma non è abbastanza. Quando viene scoperta una falla di sicurezza così grande, dovrebbe essere riconosciuta e corretta, anche se i prodotti devono essere richiamati.

Un riassunto del problema in termini non tecnici: gli hacker potrebbero accedere alla telecamera senza verificarne l’identità accedendo a una porta specifica a causa del modo in cui le schede SD vengono indirizzate all’interno del sistema. Secondo BleepingComputer, questa parte del problema è stata risolta il 24 settembre 2019.

Un’altra parte è stata corretta con un aggiornamento il 9 novembre 2020, ben 21 mesi dopo la sua scoperta iniziale. La maggior parte dell’exploit, ovvero la possibilità per gli hacker di accedere ai contenuti sulla scheda SD della videocamera, non è stata corretta fino al 29 gennaio 2022.

Vorrei sottolineare una cosa importante qui: questi aggiornamenti di sicurezza sono disponibili solo su WyzeCam v2 e v3. La WyzeCam v1 è ancora vulnerabile e lo sarà sempre. Se stai utilizzando uno di questi dispositivi, potresti prendere in considerazione l’idea di scollegarlo e lanciarlo, magari da una finestra del terzo piano?

Non è la prima volta

Nessun dispositivo è del tutto invulnerabile agli hacker. Ring ha sofferto di vulnerabilità in passato e nel novembre 2021 una rete domestica intelligente in Corea del Sud ha subito una delle violazioni della sicurezza più diffuse di qualsiasi dispositivo intelligente.

Nel 2018, un uomo ha affermato che un hacker gli aveva parlato tramite la sua Nest IQ Cam. La differenza è che questo hacker ha avvertito l’uomo che il suo dispositivo era vulnerabile e ha suggerito miglioramenti della sicurezza, quindi si è scusato per averlo spaventato.

La Nest Cam IQ in una casa.

La prossima volta che Nest è stato violato (nel 2019), il risultato finale non è stato così commovente. Una famiglia dell’Illinois è stata derisa da un hacker che ha urlato loro insulti razzisti attraverso la sua telecamera, prima che l’hacker dirottasse il termostato intelligente e alzasse la temperatura della casa fino a 90 gradi.

Wyze non è la prima azienda a soffrire di vulnerabilità di sicurezza, ma è la prima azienda (per quanto ne sappiamo) a ignorare completamente il problema. Ring e Nest hanno riconosciuto i difetti, si sono scusati e hanno cercato di correggere il problema. Il silenzio radiofonico di Wyze su questo tema è preoccupante e costituisce un pessimo precedente per la fiducia dei consumatori.

Cosa puoi fare

Le telecamere di sicurezza hanno ancora un posto in casa. Ci sono molte valide ragioni per continuare a usare le telecamere, sia che tu stia tenendo d’occhio i tuoi animali domestici o che tu stia sorvegliando un parente anziano. Ci sono molti marchi tra cui scegliere che non hanno subito orribili violazioni della sicurezza.

Hai solo bisogno di una telecamera di sicurezza con un otturatore fisico per la privacy . Un otturatore meccanico significa che sai esattamente quando la fotocamera è in streaming e quando non lo è. L’apertura dell’otturatore è spesso accompagnata da un clic udibile o da un segnale acustico della fotocamera.

La maggior parte delle fotocamere con persiane per la privacy fisiche ti consente di spegnerle automaticamente quando la fotocamera non è in uso. Anche i display intelligenti come l’ Echo Show 15 hanno un otturatore per la privacy, anche se quello deve essere aperto e chiuso manualmente.

Dovresti anche prendere decisioni consapevoli quando acquisti una telecamera di sicurezza domestica. Cerca quali marchi apprezzano di più la privacy . Incidenti e hack accadranno : è inevitabile. Ciò che conta è come reagiscono le aziende. Riconoscono il problema e si sforzano di risolverlo, o fanno finta che non ci siano problemi e lasciano i loro clienti vulnerabili?

La mia WyzeCam è scollegata. E rimarrà così fino a quando non mi sentirò sicuro che il problema è stato veramente risolto.