資安業者Bitdefender本周揭露了家用監視器Wyze Cam的3個安全漏洞,其中有一個允許未經身分認證存取SD卡的安全漏洞在2019年就被發現,但其製造商Wyze Labs卻直至今年才修補,而且還遺落了最早的Wyze Cam 1版本,因而遭到批評。
Bitdefender所公布的3個漏洞分別是身分認證繞過漏洞CVE-2019-9564、遠端控制執行漏洞CVE-2019-12266,以及沒有漏洞編號、可未經身分認證存取SD卡內容的安全漏洞。
根據Bitdefender的Wyze漏洞技術白皮書,該公司是在2019年3月發現上述3個漏洞並通報Wyze,Wyze則陸續於這幾年修補相關漏洞,但一直到今年1月才修補未經身分認證存取SD卡內容的漏洞,而且僅修補Wyze Cam 2與Wyze Cam 3,並未修補Wyze Cam 1。
此外,Wyze於今年1月底通知用戶,將不再銷售與支援Wyze Cam 1,包括不再釋出Wyze Cam 1的安全更新,倘若使用者於2月1日之後繼續使用Wyze Cam 1,將自行承擔安全風險。
儘管Wyze提供了3美元的優惠券給Wyze Cam 1用戶,鼓勵用戶購買36美元的Wyze Cam 3,不過,本身也是Wyze產品愛用者的《The Verge》編輯Sean Hollister則批評,Wyze修補漏洞的時程太長,而且看起來是因為不想修補漏洞才中止對Wyze Cam 1的支援;可存取監視器SD卡內容代表駭客得以存取或下載該監視器錄下的全部內容,對使用者而言是極大的隱私與安全風險,Wyze卻任由它存在多年,使得他決定丟掉所有Wyze產品。
雖然Wyze的智慧家庭產品相對便宜,但《Gizmodo》也認為Wyze輕忽用戶安全的作法將讓它失去客戶的信任,而對於家用監視器製造商而言,信任就是一切。
熱門新聞
2024-11-10
2024-11-10
2024-11-10
2024-11-08
2024-11-02