Kukkolók nézhették egymillió babamonitor és otthoni kamera képeit

Súlyos biztonsági réseket tartalmaztak a kínai Meari Technology gyártó wifis babamonitorjai és otthoni biztonsági kamerái. A készülékek számos márkanév alatt kaphatók – többek közt Arenti, Boifun, ieGeek –, ám mindegyik ugyanazt a sebezhető háttérrendszert használta. Egyetlen hozzáférési kulcs elegendő volt ahhoz, hogy egy hacker egymillió eszköz fotóit nézegethesse a világ 118 országából – írja aThe Verge. A biztonsági rést Sammy Azdoufal francia biztonsági kutató fedezte fel, aki a kamerákhoz járó androidos mobilapp vizsgálata során jutott hozzá egy univerzális belépési kulcshoz. A kamerák adatfolyama nyíltan hozzáférhető volt, a jelszavak nagy része pedig gyári alapértelmezésen maradt. „Jelszó nélkül, törés nélkül, hackelés nélkül le tudom kérni a képeket. Csak rákattintok az URL-re, és máris látom a fotót" – foglalta össze Azdoufal a rémálom kategóriás biztonsági probléma lényegét. Több tízezer olyan képhez volt hozzáférése, amelyeket a babamonitorok és a biztonsági kamerák készítettek a végfelhasználók otthonaiban, ezeket kínai szerveren tárolta a gyártó. Ráadásul nem ez volt az egyetlen biztonsági probléma. A Meari infrastruktúráját tovább szondázva Azdoufal egy jelszó nélküli belső szervert is talált, amelyen a cég mind a 678 alkalmazottjának a neve, e-mail-címe és telefonszáma nyíltan elérhető volt. A Meari március 10-én javította legfontosabb problémákat, leállította az adatszivárgás forrását adó internetes platformot, továbbá jelszavakat is változtatott. A szóvivője szerint a cég felszólította a partnereit, hogy juttassák el a legújabb, általa készített firmware-frissítést az érintett kameráikra, a 3.0.0-s verziónál régebbiek érintettek a botrányban. Azdoufal megerősítette, hogy már nem fér hozzá illetéktelenül a kamerák képeihez, és több mint 24 ezer euró jutalmat is kapott a cégtől a sebezhetőségek felfedezéséért, noha eredetileg a Meari fenyegetésekkel próbálta elhallgattatni a biztonsági kutatót. Sosem találkoztak még a módszerrel a szakemberek. AWindows egyik appjáthasználja ki az SMS-ben kapott kódok elolvasására.