يقوم وايز بإصلاح ممارساتها الأمنية

في محاولة لاستعادة الثقة في أمان كاميراتها ، طورت Wyze العلامة التجارية Smart Home Wyze VerifiedView – وهي طبقة جديدة من الحماية التي تدمج معرف المستخدم الخاص بك في البيانات الوصفية لكل صورة ، والفيديو ، والبثعة. يدعي Wyze أن النظام يطابق هذه البيانات مع حسابك قبل التشغيل ، مما يمنع الوصول غير المصرح به إلى لقطاتك.

“هذه شبكة أمان” ، يخبر المؤسس المشارك لـ Wyze و CMO Dave Crosby حرية. “علاوة على بذل كل ما في وسعنا لحماية المستخدمين ، قمنا ببناء هذا الفحص المزدوج في النهاية للتأكد من حمايتهم الإضافية.”

وتأتي هذه الخطوة بعد عدة سنوات صعبة بالنسبة لـ Wyze على الجبهة الأمنية ، بدءًا من ثغرة أمنية في كاميرات V1 التي عرفتها لمدة ثلاث سنوات ولم يتم الكشف عنها أبدًا ، تليها حوادث رفيعة المستوى في عامي 2023 و 2024 ، حيث رأى المستخدمون الصور من كاميرات الآخرين.

يقول كروسبي إن وايز يرى الآن إصلاح ممارساتها الأمنية على أنها وجودية. يقول: “لقد أدركنا أننا لا نستطيع البقاء على قيد الحياة إذا واصلنا ارتكاب هذه الأخطاء الغبية التي نرتكبها”. “علينا إجراء تغييرات ضخمة ، لذلك لا يحدث هذا النوع من الأشياء مرة أخرى.”

VerifiedView هي مجرد نتيجة واحدة لهذا التحول الرئيسي ؛ كما وسعت Wyze فريق الأمن الداخلي ، كما يقول Crosby ، و “استثمر ملايين الدولارات” في تعزيز بنية الأمن من أعلى إلى أسفل. يتضمن ذلك إعادة تصميم مكدس الأمان الخاص به ، والذي يتطلب مصادقة ثنائية العوامل ، وإطلاق برنامج Bug Bounty ، ونشر أدوات المراقبة لاكتشاف التهديدات ومنعها.

وايز ملتزم أيضا أن تكون أكثر شفافية حول الأمن. يقول كروسبي: “أحد أكبر الأخطاء التي ارتكبناها على الإطلاق لم تكن أكثر شفافية على ذلك” ، في إشارة إلى عيب bitdefender الذي تم تحديده في كاميرته في عام 2019 ، لكن الشركة لم تكشف للعملاء حتى عام 2022.

يتوفر VerifiedView الآن من خلال تحديث البرامج الثابتة بدأ في طرحه في أبريل. يقول كروسبي: “لقد تم نشرها بنسبة 100 ٪ على كاميراتنا الأكثر شعبية – Wyze Cam V4 و V3 و Pan V3 و OG” ، مضيفًا أنها ستصل إلى البقية قريبًا. بعض الكاميرات القديمة لا تملك الأجهزة لدعمها ، لكن Wyze تستكشف طرقًا لاستيعابها. يمكن للمستخدمين التحقق لمعرفة ما إذا كانت الكاميرات الخاصة بهم موجودة على البرامج الثابتة الجديدة على موقع Wyze.

بعد خرق عام 2024 ، يقول كوسبي إن وايز أعاد تجميع صفوفهم حول الأمن. يقول: “لقد مررنا بمجموعة الأمن بأكملنا ، وتقييم المكان الذي يمكننا تحسينه ، ومراجعة أدوات الطرف الثالث ، وإزالتها حيث يمكننا. حيث يتعين علينا استخدامها ، نحن فقط نبني مع أفضل المنصات”. “لقد استثمرنا في أدوات AWS – بما في ذلك lacework و Security Hub و GuardDuty و Q Cli.” استأجرت Wyze أيضًا العديد من شركات الأمن “للتحقق من ما قمنا به والتحقق من صحة ما قمنا به.”

يجب أن تمنع VerifiedView أنواع السيناريوهات التي شهدتها Wyze في عامي 2023 و 2024 حول القضايا المتعلقة بأدوات الطرف الثالث. يقول كروسبي: “إذا فشل كل شيء آخر ودخل الناس في السحابة أو يتم تبديل البيانات ، لا يمكن للأشخاص رؤية محتوى الآخرين”. إنه يعمل عن طريق إرفاق معرف المستخدم الخاص بك بالكاميرا – وبالتالي على أي صورة أو فيديو أو البث المباشر الذي تنتجه. قبل أن تتمكن من الوصول إلى اللقطات ، يتحقق VerifiedView من أن المعرف من الجهاز الذي تستخدمه المطابقات. إذا لم يفعل ذلك ، يتم رفض الوصول.

يوضح شارون هاجي ، خبير الأمن السيبراني وكبير ضباط الأمن في Silicon Labs ، الذي راجع مواد Wyze المنشورة في Wyze المنشور في Wyze المنشور في Wyze المنشور ، إن التكنولوجيا تشبه إلى DRM (إدارة الحقوق الرقمية) التي تم إنشاؤها لمكافحة قرصنة المحتوى. الحفر طلب. يقول: “في صميم VerifiedView ، يوجد مفهوم أمن البيانات الراسخ والحراس: الربط التشفير لهوية المستخدم وبيانات الجهاز إلى المحتوى الرقمي” ، يطلق عليه خطوة مهمة إلى الأمام في أمان المنزل الذكي.

بينما تم تصميم VerifiedView للوقاية غير مصرح به الوصول إلى لقطاتك ، لا يمكن أن يمنع شخص ما يمكنه الوصول إلى حسابك من مشاهدته. لمعالجة ذلك ، تم تعزيز وايز يدعي الأمن تسجيل الدخول. مطلوب الآن المصادقة ثنائية العوامل افتراضيًا ، وتتوفر خيارات تسجيل الدخول الآمنة ، وقد نشرت الشركة أدوات لاكتشاف تسجيلات تسجيلات مشبوهة.

أكد Crosby على أن Wyze قد استثمرت الكثير من المال في هذه التغييرات وأن التكاليف المستمرة للحفاظ على VerifiedView ، بما في ذلك البنية التحتية الهندسية والهندسة ، كبيرة. هذا يثير مسألة مدى استدامة هذا لبدء تشغيل معلقة بهوامش حلاقة. هل يمكن أن تصبح VerifiedView في النهاية ميزة مدفوعة؟ يقول كروسبي: “لن نفرض رسومًا على هذه الميزة أبدًا ولن نتوقف عنها أبدًا”. “ستكون ميزة منتظمة لجميع كاميرات Wyze للمضي قدمًا.”

سؤال آخر هو لماذا لا تبني فقط في التشفير من طرف إلى طرف (E2EE) ، والذي يضمن فقط المستخدم والأجهزة المعتمدة التي يمكنها الوصول إلى اللقطات؟ معظم كاميرات الأمان المستندة إلى مجموعة النظراء ، بما في ذلك WYZE ، تشفير البيانات بينما “في العبور” و “في راحة” ، والتي تحمي من الجهات الفاعلة السيئة ، ولكنها تسمح للشركة بالوصول إليها أثناء وجودها على خوادمها لتوفير ميزات إضافية.

يقول Crosby إن E2EE هي “الكأس المقدسة” ، لكنها تكسر الميزات التي قيمة المستخدمين. “مع E2EE ، لا يمكنك استخدام عمليات تكامل الطرف الثالث مثل Alexa ، وتحديدات الذكاء الاصطناعى في السحابة لا تعمل. تقدم VerifiedView حماية متشابهة للغاية إلى E2EE دون المساس بتجربة المستخدم-شعرت وكأنها المفاضلة المثالية.”

صحيح أن تشفير لقطاتك يمنع خوادم سحابة للشركة من النظر إليها والتصرف نيابة عنك لإخبارك عندما ، على سبيل المثال ، حزمة على بابك. لكن بعض الشركات مثل Apple ، مع فيديو E2EE HomeKit الآمن ، تستخدم خادمًا محليًا للقيام بهذه المعالجة.

إلى جانب التخزين المحلي الذي يقدمه على بعض الكاميرات ، يقول كروسبي إنهم يستكشفون إضافة المزيد من المعالجة المحلية ، وهو شيء لديه على كاميراتها الراقية. يقول: “نريد أن نتحرك أكثر فأكثر إلى الحافة” ، مضيفًا أن ذلك قد يعني أجهزة محلية جديدة ، لكننا لم نوضح ما إذا كانت هذه كاميرات جديدة أو نوع من المحور للمعالجة المحلية. يقول كروسبي إن وايز يعمل أيضًا على إعادة بروتوكول البث في الوقت الفعلي. هذا من شأنه أن يتيح للمستخدمين دفق الفيديو إلى جهاز تسجيل محلي و/أو منصات مثل Home Assistant.

عندما سئل عن سبب عدم عرض E2EE على الأقل كخيار ، أشار Crosby مرة أخرى إلى الوظيفة المفقودة لـ E2EE ، مثل ميزات AI الجديدة من Wyze التي تساعد على تقليل الإخطارات. “لقد أنشأنا VerifiedView ليكون طبقة ثالثة من الحماية حتى يتمكن المستخدمون من الاستفادة من ميزات الذكاء الاصطناعى … مع معرفة مقاطع الفيديو الخاصة بهم آمنة.”

من الواضح أن السحابة ستكون دائمًا جزءًا أساسيًا من خدمة Wyze. يقول كروسبي: “من المحتمل أن يكون هناك دائمًا نوع من التعاون الساخن للحافة”. “اليوم ، نقوم بعمل الأشياء السهلة على الحافة والأشياء الصلبة على السحابة. مع تزايد كاميراتنا ، ننتقل أكثر إلى الحافة. ​​لكن المواقف تزداد صعوبة أيضًا ، ونحن نضيف المزيد من حالات الاستخدام إلى ما نراقبه. لذلك ، ستكون دائمًا عملية التعلم والتحسن في شيء ما ، ثم نتحرك إلى الحافة.”

يعتقد Crosby أنه يجب على المستخدمين الآن أن يشعروا بالأمان باستخدام كاميرات أمان Wyze. يقول: “نحن مغلقون أكثر من أي وقت مضى”. “أشعر بالثقة الشديدة. وعلى الرغم من أنه لا يمكنك أن تكون واثقًا جدًا في هذه اللعبة ، لأن الجميع يشعرون بالثقة حتى يحدث شيء ما ، فإننا نبني طبقات من الأدوات فوق بعضنا البعض. إنه أفضل ما يمكننا فعله في هذه المرحلة ، وأشعر بالثقة الشديدة في ذلك.”