Программист получил доступ к тысячам камер и данным пользователей из-за простой уязвимости

Фото: Shutterstock

Журналисты обратили внимание на очень серьезную уязвимость в Wi-Fi-камерах для наблюдения за детьми и охранных камерах производителя Meari Technology. Проблема заключается в том, что если кто-то получал доступ к одной камере, он мог видеть изображение практически со всех остальных, в том числе и с камер других пользователей. Об этом пишет hvg.

Такая проблема иллюстрирует тот факт, что в целом миллионы камер этого производителя могли быть незащищенными.

Как отметило издание, Meari — это китайский бренд, камеры которого продаются под сотнями (!) названий на различных онлайн-торговых площадках. К этой компании, среди прочих, можно отнести бренды Arenti, Anran, Boifun и ieGeek.

Инженер-программист Сэмми Аздуфал, который недавно случайно получил доступ к тысяче роботов-пылесосов, говорит, что почти тем же методом он получил удаленный доступ к 1,1 млн камер Meari.

"Для этого ему пришлось лишь проанализировать соответствующее приложение для Android, в котором он нашел ключ безопасности — это обеспечило ему доступ ко всем таким камерам в 118 странах", — добавили в публикации.

Это означает, что любой, кто хоть немного разбирался в этих системах, мог просматривать изображения с более чем миллиона камер. Проблему усугубляет то, что Meari не заботится о защите своих систем, ведь многие из них до сих пор "защищены" стандартным паролем (например: admin). Это все равно что оставить ключ в дорогостоящей бронированной двери. Снаружи.

По словам Аздуфала, он получил доступ к домам людей, узнал их адреса электронной почты, а также примерное место их нахождения. Более того, ему удалось просмотреть десятки тысяч фотографий, которые хранились на серверах Alibaba по общедоступным веб-адресам.

"Я могу просматривать фотографии без каких-либо паролей и взломов", — сказал он.

Программист даже обратил внимание на незащищенный внутренний сервер, на котором хранились его собственные данные для входа, а также данные для аутентификации 678 сотрудников компании.

Аздуфал сообщил о проблеме компании Meari Technology, которая отреагировала на это лишь после многих попыток. В конце концов компания устранила проблемы, устранив пробелы в безопасности.

"The Verge удалось связаться с загадочным представителем компании, который сообщил, что проблемная платформа была остановлена, имена пользователей и пароли изменены, а клиентам было рекомендовано обновить базовое программное обеспечение устройств. Версии 3.0.0 и более поздние уже теоретически защищены от уязвимостей. Однако на ряд важных вопросов ответов не получено, например, о количестве зараженных устройств, а также о том, воспользовались ли уже злоумышленники этой уязвимостью", — подчеркнули в материале.

Карпова Рада
Журналист ARDinform