Журналісти виявили серйозну проблему у Wi-Fi-камерах для спостереження за дітьми та охоронних системах китайського виробника Meari Technology. Якщо хтось отримував доступ до однієї камери, він міг бачити зображення з майже всіх інших, включаючи пристрої інших користувачів.
Така вразливість ставила під загрозу мільйони камер бренду. Meari продає свої пристрої під сотнями назв на різних майданчиках, серед них Arenti, Anran, Boifun та ieGeek.
Як програміст отримав доступ
Інженер Семмі Аздуфал, який раніше випадково зламав тисячу роботів-пилососів, використав схожий метод для віддаленого доступу до 1,1 млн камер Meari у 118 країнах. Йому вистачило проаналізувати Android-додаток і знайти ключ безпеки.
Це дозволило будь-кому, хто розбирався в системі, переглядати зображення з понад мільйона камер. Багато пристроїв досі використовували стандартний пароль «admin».
Аздуфал отримав доступ до осель людей, їхніх електронних адрес та приблизного місця перебування. Він також переглянув десятки тисяч фото, збережені на серверах Alibaba без паролів.
Програміст виявив незахищений внутрішній сервер з даними для входу, зокрема даними 678 співробітників компанії. Він повідомив про проблему Meari Technology. Компанія усунула вразливості після численних спроб. Платформу зупинили, паролі змінили, а користувачам порадили оновити софт до версій 3.0.0 і новіших.