В стремлении восстановить доверие к безопасности своих камер, бренд умных устройств для дома Wyze разработал VerifiedView — новый уровень защиты, который внедряет идентификатор пользователя в метаданные каждой фотографии, видеозаписи и прямой трансляции. Wyze утверждает, что система сопоставляет эти данные с учетной записью пользователя перед воспроизведением, блокируя несанкционированный доступ к видеоматериалам.

"Это страховочный механизм", — говорит сооснователь и директор по маркетингу Wyze Дэйв Кросби (Dave Crosby). "В дополнение к тому, чтобы сделать все возможное для защиты пользователей, мы создали эту дополнительную проверку в конце, чтобы обеспечить им еще большую защиту."

Этот шаг последовал за несколькими сложными годами для Wyze в области безопасности, начиная с уязвимости в камерах v1, о которой компания знала три года, но не раскрывала, и заканчивая двумя резонансными инцидентами в 2023 и 2024 годах, когда пользователи видели изображения с камер других людей.

Кросби утверждает, что сейчас для Wyze исправление практик безопасности является вопросом выживания. "Мы поняли, что не сможем выжить, если продолжим допускать эти глупые ошибки", — говорит он. "Нам нужно внести кардинальные изменения, чтобы подобное никогда больше не происходило."

VerifiedView — лишь один из результатов этой масштабной трансформации. Кросби также говорит, что Wyze расширила свою внутреннюю команду безопасности и "инвестировала миллионы долларов" в укрепление архитектуры безопасности в целом. Это включает в себя переработку стека безопасности, обязательное использование двухфакторной аутентификации, запуск программы Bug Bounty и развертывание инструментов мониторинга для обнаружения и предотвращения угроз.

Wyze также стремится к большей прозрачности в вопросах безопасности. "Одна из наших самых больших ошибок заключалась в том, что мы не были более прозрачными", — говорит Кросби, ссылаясь на недостаток, обнаруженный Bitdefender в камере в 2019 году, но о котором компания не сообщила клиентам до 2022 года.

VerifiedView доступен через обновление прошивки, которое начало распространяться в апреле. "Он полностью развернут на наших самых популярных камерах — Wyze Cam v4, v3, Pan v3 и OG", — говорит Кросби, добавляя, что вскоре он появится и на остальных моделях. Некоторые старые камеры не имеют аппаратного обеспечения, необходимого для поддержки этой функции, но Wyze изучает способы ее реализации и для них. Пользователи могут проверить, установлена ли новая прошивка на их камерах, на сайте Wyze.

После взлома в 2024 году, Кросби говорит, что Wyze перегруппировалась вокруг вопросов безопасности. "Мы проанализировали весь наш стек безопасности, оценивая, где мы можем улучшиться, рассматривая сторонние инструменты и удаляя их, где это возможно. Там, где мы вынуждены их использовать, мы работаем только с лучшими платформами", — говорит он. "Мы инвестировали в инструменты AWS, включая Lacework, Security Hub, GuardDuty и Q CLI". Wyze также привлекла несколько фирм по безопасности "для проверки и подтверждения того, что мы сделали".

VerifiedView должен предотвратить сценарии, с которыми столкнулась Wyze в 2023 и 2024 годах, связанные с проблемами сторонних инструментов. "Если все остальное терпит неудачу и злоумышленники получают доступ к облаку или данные переключаются, люди не смогут видеть контент других людей", — говорит Кросби. Она работает путем привязки идентификатора пользователя к камере, а следовательно, к любой фотографии, видео или прямой трансляции, которые она производит. Прежде чем получить доступ к видеоматериалам, VerifiedView проверяет, совпадает ли идентификатор с устройства, которое вы используете. Если нет, доступ запрещен.

Эта технология аналогична DRM (Digital Rights Management), созданной для борьбы с пиратством контента, объясняет Шарон Хаги (Sharon Hagi), эксперт по кибербезопасности и главный директор по безопасности Silicon Labs, которая по запросу The Verge ознакомилась с опубликованными материалами Wyze. "В основе VerifiedView лежит хорошо зарекомендовавшая себя и критически важная концепция безопасности данных: криптографическая привязка идентификатора пользователя и данных устройства к цифровому контенту", — говорит она, называя это важным шагом вперед в безопасности умных устройств для дома.

Хотя VerifiedView предназначен для предотвращения несанкционированного доступа к вашим видеоматериалам, он не может остановить человека, имеющего доступ к вашей учетной записи, от их просмотра. Чтобы решить эту проблему, Wyze утверждает, что усилена безопасность входа в учетную запись. Теперь обязательно использование двухфакторной аутентификации, доступны безопасные варианты входа в систему и компания развернула инструменты для обнаружения подозрительных входов.

Кросби подчеркнул, что Wyze инвестировала много денег в эти изменения и что текущие затраты на поддержание VerifiedView, включая инженерные работы и облачную инфраструктуру, значительны. Это вызывает вопрос о том, насколько устойчива эта модель для стартапа, работающего с минимальной прибылью. Может ли VerifiedView в конечном итоге стать платной функцией? "Мы никогда не будем взимать плату за эту функцию и никогда не откажемся от нее", — говорит Кросби. "Это будет обычной функцией для всех камер Wyze в будущем".

Другой вопрос заключается в том, почему бы просто не внедрить сквозное шифрование (E2EE), которое гарантирует, что только пользователь и его авторизованные устройства смогут получить доступ к видеоматериалам? Большинство облачных камер безопасности, включая Wyze, шифруют данные "в процессе передачи" и "в состоянии покоя", что защищает от злоумышленников, но позволяет компании получать к ним доступ на своих серверах для предоставления дополнительных функций.

Кросби говорит, что E2EE — это "святой Грааль", но оно ломает функции, которые ценят пользователи. "При E2EE вы не можете использовать сторонние интеграции, такие как Alexa, и функции искусственного интеллекта, работающие в облаке, не работают. VerifiedView обеспечивает очень похожую защиту на E2EE, не нарушая пользовательский опыт — это показалось нам идеальным компромиссом". Действительно, шифрование видеоматериалов не позволяет компании получать к ним доступ и действовать от вашего имени, например, сообщать о прибытии посылки. Однако некоторые компании, такие как Apple с ее HomeKit Secure Video с E2EE, используют локальный сервер для обработки этих данных.

Наряду с локальным хранилищем, которое оно предлагает на некоторых камерах, Кросби говорит, что они изучают возможность добавления большего количества локальной обработки, которая есть на их камерах высокого класса. "Мы хотим все больше и больше переходить на периферию", — говорит он, добавляя, что это может означать новые локальные устройства, но не уточнил, означает ли это новые камеры или какой-то центр для локальной обработки.

Wyze также работает над возвращением протокола Real-Time Streaming Protocol, говорит Кросби. Это позволит пользователям транслировать видео на локальное записывающее устройство и/или платформы, такие как Home Assistant.

На вопрос, почему бы не предложить E2EE хотя бы в качестве опции, Кросби снова указал на утрату функциональности E2EE, такой как новые функции искусственного интеллекта Wyze, которые помогают снизить количество уведомлений. "Мы создали VerifiedView, чтобы обеспечить третий уровень защиты, чтобы пользователи могли воспользоваться функциями искусственного интеллекта… и при этом быть уверенными, что их видео защищены".

Очевидно, что облако всегда будет основной частью сервиса Wyze. "Вероятно, всегда будет какое-то сотрудничество между периферией и облаком", — говорит Кросби. "Сегодня мы выполняем простые задачи на периферии, а сложные — в облаке. По мере того, как наши камеры становятся умнее, мы перемещаем больше задач на периферию. Но ситуации становятся все сложнее, и мы добавляем больше вариантов использования того, что мы отслеживаем. Поэтому это всегда будет процесс обучения и совершенствования чего-то, а затем перемещения этого на периферию".

Кросби считает, что пользователи теперь могут безопасно использовать камеры безопасности Wyze. "Мы более защищены, чем когда-либо", — говорит он. "Я очень уверен. И хотя нельзя быть слишком уверенным в этой игре, потому что все уверены, пока что-то не произойдет, мы создаем слои инструментов друг на друга. Это лучшее, что мы можем сделать на данный момент, и я в этом уверен".

``` **Пояснения:** * Я разбил текст на абзацы, используя тег `

`. Это делает текст более читабельным и структурированным. * Я не стал добавлять дополнительные теги, такие как `` или ``, чтобы сохранить изначальное форматирование текста. Если вам нужно выделить какие-то элементы, вы можете добавить их позже. * Этот код HTML можно скопировать и вставить в HTML-файл или использовать в любом веб-редакторе. * Можно добавить CSS стили для изменения внешнего вида текста (шрифт, размер, цвет и т.д.). * Если в тексте есть заголовки или подзаголовки, их следует оформить с помощью тегов `

` - `

`. * Если есть списки, используйте теги `

` (для неупорядоченных списков) или `
` (для упорядоченных списков).