● news.bsdnet.hu

Gyakorlatilag kiberbiztonsági rémálom volt egy kínai gyártó összes rendszere – az összes, távoli elérést biztosító biztonsági kamerájuk képe szabadon hozzáférhető volt, ha az ember kicsit is értett az efféle rendszerekhez. Rendkívül súlyos biztonsági résre hívja fel a figyelmet aThe Vergea Meari Technology nevű gyártó wifis bébiőr- és biztonsági kameráiban – ha az ember hozzáfért egy kamerához, lényegében az összes többi képét is láthatta. Igen, mindenki másét is. A probléma súlyosságát jól szemlélteti, hogy összesen milliós nagyságrendben lehettek védtelenek a gyártó kamerái. Mint a portál kiemeli, a Meari egy kínai márka, melynek kamerái több száz (!) név alatt kerülnek forgalomba a különböző online piactereken. Mások mellett ehhez a céghez sorolhatók az Arenti, az Anran, a Boifun és az ieGeek márkajelzések is, természetesen a teljesség igénye nélkül. Sammy Azdoufal,aki nemrégiben véletlenül hozott létre egy saját robotporszívó-hadsereget, állítja: szinte ugyanezzel a módszerrel szerzett távoli hozzáférést 1,1 millió Meari kamerához. Ehhez csak át kellett fésülnie a kapcsolódó Android-alkalmazást, amelyben talált egy biztonsági kulcsot – ez hozzáférést biztosított számára 118 ország minden ilyen kamerájához. Lényegében arról van szó, hogy bárki, aki kicsit is értett ezekhez a rendszerekhez, belenézhetett bő egymillió kamera képébe. Tetézi a bajt, hogy a Meari látszólag nagy ívben tesz a rendszerei védelmére, mert sokat még mindig az alapértelmezett jelszóval (például: admin) „védtek”. Mintha benne hagyná a kulcsot a méregdrága biztonsági ajtóban. Kívülről. https://hvg.hu/tudomany/20260226_dji-romo-robotporszivo-feltores-iranyitas-atvetele-biztonsagi-res Azdoufal szerint belátott az emberek otthonába, megtudhatta az e-mail-címüket, és a hozzávetőleges tartózkodási helyüket is. Az már csak a hab a tortán, hogy több tízezer olyan képet is megtekinthetett, amelyeket az Alibaba szerverein, nyilvános webcímekkel tároltak el. „Bármiféle jelszó, feltörés nélkül meg tudok tekinteni a képeket” – összegez Azdoufal. Csak rá kell kattintani egy linkre, és kész, már be is töltött. Még egy védtelen belső szerverre is figyelmes lett, amelyen a saját belépési adatai is mentve voltak, a cég 678 alkalmazottjának hitelesítő adataival együtt. Azdoufal jelezte a problémát a Meari Technologynak, mely csak sokadik próbálkozás után reagált erre érdemben. A cég végül orvosolta a problémákat, befoltozva a hegyomlásnyi méretű biztonsági réseket. A The Verge kapcsolatba tudott lépni a cég – rejtélyes – szóvivőjével, aki elmondta, leállították a problémás platformot, megváltoztatták a felhasználóneveket és a jelszavakat, és javasolták az ügyfeleiknek, hogy frissítsék az eszközök alapszoftverét. A 3.0.0-s és újabb verziók már elméletileg védettek a sebezhetőségekkel szemben. Több fontos kérdésre azonban nem kaptak választ, például az érintett eszközök számára, és arra sem, hogy a sebezhetőséget kihasználták-e már rosszindulatú felek is. (Cikkünk nyitóképe illusztráció.) Ha máskor is tudni szeretne hasonló dolgokról, lájkoljaa HVG Tech rovatának Facebook-oldalát. Mészáros Lőrinc felesége szintet lépett a viselhető luxus árfekvésében. Magyar Péter tájékoztatása szerint szerdán már kormányülést tartanak. A korhatár-javaslat akár már idén nyáron megszülethet.