安全企业Bitdefender本周披露了家用监视器Wyze Cam的3个安全漏洞,其中有一个允许未经身份认证访问SD卡的安全漏洞在2019年就被发现,但其制造商Wyze Labs却直至今年才修补,而且还遗落了最早的Wyze Cam 1版本,因而遭到批评。
Bitdefender所公布的3个漏洞分别是身份认证绕过漏洞CVE-2019-9564、远程控制执行漏洞CVE-2019-12266,以及没有漏洞编号、可未经身份认证访问SD卡内容的安全漏洞。
根据Bitdefender的Wyze漏洞技术白皮书,该公司是在2019年3月发现上述3个漏洞并通报Wyze,Wyze则陆续于这几年修补相关漏洞,但一直到今年1月才修补未经身份认证访问SD卡内容的漏洞,而且仅修补Wyze Cam 2与Wyze Cam 3,并未修补Wyze Cam 1。
此外,Wyze于今年1月底通知用户,将不再销售与支持Wyze Cam 1,包括不再发布Wyze Cam 1的安全更新,倘若用户于2月1日之后继续使用Wyze Cam 1,将自行承担安全风险。
尽管Wyze提供了3美元的优惠券给Wyze Cam 1用户,鼓励用户购买36美元的Wyze Cam 3,不过,本身也是Wyze产品爱用者的《The Verge》编辑Sean Hollister则批评,Wyze修补漏洞的进程太长,而且看起来是因为不想修补漏洞才中止对Wyze Cam 1的支持;可访问监视器SD卡内容代表黑客得以访问或下载该监视器录下的全部内容,对用户而言是极大的隐私与安全风险,Wyze却任由它存在多年,使得他决定丢掉所有Wyze产品。
虽然Wyze的智慧家庭产品相对便宜,但《Gizmodo》也认为Wyze忽视用户安全的做法将让它失去客户的信任,而对于家用监视器制造商而言,信任就是一切。