У Wi-Fi-камерах для спостереження за дітьми та охоронних системах китайського виробника Meari Technology виявили серйозну вразливість. Доступ до однієї камери дозволяв переглядати зображення з майже всіх інших пристроїв, включно з камерами інших користувачів.
Як програміст проник у мільйон камер
Інженер Семмі Аздуфал, який раніше випадково отримав доступ до тисяч роботів-пилососів, застосував схожий метод і підключився до 1,1 млн камер Meari у 118 країнах. Він проаналізував додаток для Android, знайшов ключ безпеки та отримав віддалений доступ до всіх таких пристроїв.
Бренд Meari продається під сотнями назв, серед яких Arenti, Anran, Boifun та ieGeek. Багато камер досі використовують стандартний пароль admin, що спрощує злам. Аздуфал переглянув фото з осель людей, дізнався їхні електронні адреси та приблизне місцезнаходження. Десятки тисяч зображень зберігалися на серверах Alibaba без паролів.
Він також виявив незахищений внутрішній сервер компанії з власними даними для входу та даними автентифікації 678 співробітників. Аздуфал повідомив про проблему Meari Technology. Компанія виправляла вразливість після численних спроб і врешті-решт зупинила проблемну платформу, змінила імена користувачів та паролі, а клієнтам порадила оновити програмне забезпечення до версій 3.0.0 і новіших. Кількість уражених пристроїв та факт використання вразливості зловмисниками залишаються невідомими.