2 de abril de 2022



Las cámaras del fabricante Wyse también permitieron que personas no autorizadas revisaran grabaciones de apartamentos y oficinas a través de una abertura. El fabricante ha sido consciente del error durante años.

De hecho, las cámaras de seguridad tienen un solo uso: deben garantizar que nos sintamos seguros en nuestro hogar. El error en el fabricante Wyze ahora debería tener el efecto contrario. Permitió que extraños al azar obtuvieran información profunda sobre la vida diaria de los usuarios. Pero en lugar de proteger a sus clientes, el fabricante prefirió guardar silencio.

Esto es según un informe de los expertos en antivirus de Bitdefender. En consecuencia, el error permitió el acceso remoto al almacenamiento local de las cámaras Wyze en línea y recuperar videos almacenados allí. No se requieren habilidades especiales de piratería: dado que no se requiere autenticación, puede acceder a cualquier cámara que se pueda encontrar en Internet.

muy fácil



Según los expertos, para verse afectado por el error, bastaba con conectar una de las cámaras a Internet e insertar cualquier tarjeta SD. Entonces, la cámara configura automáticamente su propia dirección web. Dado que también se puede recuperar un archivo de registro que contiene datos de acceso, los videos, imágenes y audios guardados en la cámara, así como todos los demás datos guardados por el usuario en ella, también se pueden recuperar a través de la web. La única limitación: había que saber el ID de la cámara. Esto puede ser accedido por dispositivos infectados desde la misma red.

El fabricante sabe desde hace al menos tres años que esto es posible. En marzo de 2019, los investigadores de seguridad de Bitdefender descubrieron el error junto con otros dos problemas y se lo informaron a Wyze. Incluso con otros errores, el fabricante tomó mucho tiempo. El primer problema, con el que se podía omitir el inicio de sesión, se resolvió después de solo seis meses. La segunda vulnerabilidad, que permitía ejecutar código malicioso, se eliminó nuevamente un año después. El truco de la tarjeta SD funcionó durante más tiempo: parece que el problema solo se solucionó en enero de este año.

Sabio no es razonable



Sin embargo, esto no significa que los usuarios de cámaras vendidas en Alemania estén realmente seguros. Dado que muchas cámaras no instalan actualizaciones automáticamente, es posible que aún existan lagunas. Por lo tanto, la forma más segura para los clientes es buscar e instalar una actualización para su cámara en el sitio web del fabricante. Sin embargo, para algunos modelos ya no hay nada disponible: dado que el modelo afectado no ha recibido ninguna actualización desde finales de 2020, la brecha nunca se cerrará.

Lo que es particularmente molesto es que el error no se informa públicamente. El editor de Verge, que usó una de las cámaras él mismo, solo recibió un correo electrónico en febrero de este año que decía que “los riesgos aumentaban” si no importaba la actualización actual. La razón de este riesgo no se explica allí. Solo se señaló que los clientes actuaron “totalmente bajo su propio riesgo” si ignoraban esto. En una declaración a Bleeping Computer, Wyze no abordó la demora. Me acaba de confirmar que el error se ha solucionado.

Esta no es la primera vez que extraños ingresan a las cámaras de seguridad. Hace unos años, también era posible controlar la cámara Aldi desde Internet e incluso transmitirla a través de Live Photo. En Amazon’s Ring, ingresé listas que contenían datos de acceso a Internet. Algunos internautas se burlaron de iniciar sesión en las casas de los usuarios en filas. En casos individuales, vecinos acosados ​​con solicitudes de desnudez a través del altavoz de las cámaras de circuito cerrado de televisión.

