Az önce Wyze ev güvenlik kameralarımı çöp kutusuna attım. Bu şirketle işim bitti.
bunu yeni öğrendim son üç yıldır, Wyze, ev güvenlik kameralarında, bilgisayar korsanlarının internet üzerinden evinize bakmasına izin verebilecek bir güvenlik açığının tamamen farkındaydı – ancak bunu halının altına süpürmeyi seçti. Ve güvenlik açığını bulan güvenlik firması büyük ölçüde bunu yapmalarına izin verdi.
Düzeltmek yerine, geri çağırmak yerine, bilirsiniz, bir şey söylemek Bu kameraları çocuklarıma yöneltmeyi bırakayım diye, Wyze tam bir açıklama yapmadan bu Ocak ayında WyzeCam v1’i durdurmaya karar verdi. Ancak Salı günü, güvenlik araştırma şirketi Bitdefender sonunda Wyze’nin neden satmayı bıraktığına ışık tuttu: çünkü birisi internet üzerinden kameranızın SD kartına erişebilir, şifreleme anahtarını çalabilir ve video akışını izlemeye ve indirmeye başlayabilir.
Wyze hiçbir yerde benim gibi müşterilere böyle bir şey söylemiyor. Kamerayı bıraktığında değil, Bitdefender’ın Mart 2019’da Wyze’ın dikkatine sunmasından bu yana geçen üç yıl içinde ve muhtemelen hiçbir zaman da olmayacak: Wyze sözcüsü Kyle Christensen bana, şirket söz konusu olduğunda, müşterilerine karşı zaten şeffaf olduğunu söyledi. ve “sorunu tamamen düzeltti”. Ancak Wyze bunu yalnızca WyzeCam’in daha yeni sürümleri için düzeltti ve o zaman bile v2 ve v3’ün yamalarını 29 Ocak 2022’de tamamladı. buna göre BleeBilgisayar.
Şeffaf olmakla ilgili olarak, Wyze’ın müşterilere söylediğini en çok gördüğüm şey, “1 Şubat 2022’den sonra WyzeCam’i kullanmaya devam etmenizin artan risk taşıdığı, Wyze tarafından önerilmeyeceği ve riski tamamen size ait olduğu”ydu. Ayrıca bazen müşterilerine böyle belirsiz e-postalar gönderiyor, eskiden takdir ediyordum ama şimdi geriye dönük olarak sorguluyorum:
Ülkemizdeki “artan risk” hakkındaki bu sözleri okuduğumda sınır WyzeCam v1’in sonlandırılmasıyla ilgili gönderi, az önce değinildiğini düşündüğümü hatırlıyorum gelecek güvenlik güncellemeleri — zaten var olan büyük bir güvenlik açığı değil.
Yine de başka bir soru: Bitdefender, Wyze’ın elini zorlayabilecekken, bunu neden üç yıl boyunca açıklamadı?
Güvenlik araştırması firmasının kendi açıklama zaman çizelgesine (PDF) göre, Mart 2019’da Wyze’a ulaştı ve bir yanıt bile almadı. tepki bir yıl sekiz ay sonra Kasım 2020’ye kadar. Yine de Bitdefender daha düne kadar sessiz kalmayı seçti.
Merak ediyorsanız, hayır, bu güvenlik camiasında normal değil. Uzmanlar bana “sorumlu ifşa zaman çizelgesi” kavramının biraz eski olduğunu ve büyük ölçüde duruma bağlı olduğunu söylese de, genel olarak günler, yıllar değil. Stanford İnternet Gözlemevi direktörü ve eski güvenlik şefi Alex Stamos, “Araştırmacıların çoğunun, bir satıcıya ulaşmak için iyi niyetle çaba gösterirlerse ve bir yanıt almazlarsa, 30 gün içinde kamuya açıklayacakları politikalar vardır.” Facebook’ta, bana söylüyor.
“ABD hükümeti bile 45 günlük varsayılan ifşa son tarihi Luta Security’nin kurucusu ve CEO’su ve güvenlik açığı ifşası ve güvenlik açığı işleme süreçleri için uluslararası ISO standartlarının ortak yazarı Katie Moussouris şöyle yazıyor:
Bitdefender’a bunu sordum ve Halkla İlişkiler direktörü Steve Fiore’un bir açıklaması vardı ama bana pek uymuyor. İşte tam olarak:
Bulgularımız o kadar ciddiydi ki, her zamanki 90 günlük lütuf süresi uzatma politikamıza bakılmaksızın, bu raporu Wyze’ın onayı ve hafifletme işlemi olmadan yayınlamak, potansiyel olarak milyonlarca müşteriyi bilinmeyen etkileri olan ifşa edecekti. Özellikle satıcının (bizim için) bilinen bir güvenlik süreci/çerçevesi olmadığı için. Wyze, bulgularımızın bir sonucu olarak geçen yıl bir uygulama gerçekleştirdi (https://www.wyze.com/pages/security-report).
Raporların (iBaby Monitor M6S kameralar) yayınlanmasını daha önce aynı nedenden dolayı daha uzun süre erteledik. Bulguları kamuya açıklamanın etkisi, satıcının bu soruna çözüm bulma yeteneği konusundaki bilgi eksikliğimiz ile birleştiğinde, beklememizi dikte etti.
Bunun diğer araştırmacılar arasında yaygın bir uygulama olmadığını anlıyoruz, ancak bulguları satıcıya yamaları sağlamadan önce açıklamak birçok insanı riske atabilirdi. Bu nedenle, Wyze sonunda iletişim kurup bize bildirilen sorunları çözme yetenekleri hakkında güvenilir bilgiler sağladığında, onlara zaman tanımaya karar verdik ve uzatmalar sağladık.
Beklemek bazen mantıklıdır. Konuştuğum uzmanların ikisi, Moussouris ve Stamos, bağımsız olarak, kaç kişinin etkilendiği, bilgisayarların ne kadar derine gömülü olabileceği ve güvenlik ve ifşaatın dengelenmesinin zor olduğu bir örnek olarak kötü şöhretli Meltdown bilgisayar CPU güvenlik açıklarını gündeme getirdi. düzeltmeleri ne kadar zor.
Ama rafımda duran 20 dolarlık bir tüketici akıllı ev kamerası? Bitdefender iki yıl önce Wyze’ın düzeltmediği bir kusuru olduğuna dair bir basın açıklaması yaptıysa, o kamerayı kullanmayı bırakmak, daha fazla satın almamak ve onun yerine farklı bir tane seçmek çok kolay. Stamos, “Etkilenen müşteriler için kolay bir azaltma stratejisi var” diyor.
Bitdefender’ın ortaya çıkardığı iBaby Monitor örneği de biraz ironik – çünkü orada, aslında Bitdefender yaptı bir şirketi harekete geçmeye zorlamak. Ne zaman Bitdefender ve PCMag ortaya çıktı bebek telsizi şirketi güvenlik açığını kapatmamıştı, ortaya çıkan kötü tanıtım onları düzeltmeye itti. sadece üç gün sonra.
Yıllar değil günler.
Şimdi izin verirseniz, sevdiğim Wyze kulaklıklara veda etmem gerekiyor çünkü Wyze ile işim bittiğinde ciddiyim. Şirketin 2,4 milyon müşterinin verilerini feci bir şekilde sızdırmasını bir hata olarak yazmaya istekliydim, ancak şirket burada bir tane yapmış gibi görünmüyor. Bu kusurlar 2022’de kamerayı durduracak kadar kötüyse, 2019’da müşteriler bunu bilmeyi hak etti.