Журналисты обнаружили серьезную проблему в Wi-Fi-камерах для наблюдения за детьми и охранных системах китайского производителя Meari Technology. Если кто-то получал доступ к одной камере, он мог видеть изображения почти со всех других, включая устройства других пользователей.
Такая уязвимость ставила под угрозу миллионы камер бренда. Meari продает свои устройства под сотнями названий на разных площадках, среди них Arenti, Anran, Boifun и ieGeek.
Как программист получил доступ
Инженер Сэмми Аздуфал, который ранее случайно взломал тысячу роботов-пылесосов, использовал похожий метод для удаленного доступа к 1,1 млн камер Meari в 118 странах. Ему хватило проанализировать Android-приложение и найти ключ безопасности.
Это позволило любому, кто разбирался в системе, просматривать изображения более чем с миллиона камер. Многие устройства до сих пор использовали стандартный пароль «admin».
Аздуфал получил доступ к жилищам людей, их электронным адресам и приблизительному месту пребывания. Он также просмотрел десятки тысяч фото, сохраненные на серверах Alibaba без паролей.
Программист обнаружил незащищенный внутренний сервер с данными для входа, в частности данными 678 сотрудников компании. Он сообщил о проблеме Meari Technology. Компания устранила уязвимости после многочисленных попыток. Платформу остановили, пароли изменили, а пользователям посоветовали обновить софт до версий 3.0.0 и новее.