Подпишитесь на нас в Google
Журналисты обратили внимание на очень серьезную уязвимость в Wi-Fi-камерах для наблюдения за детьми и охранных камерах производителя Meari Technology. Проблема заключается в том, что если кто-то получал доступ к одной камере, он мог видеть изображение практически со всех остальных, в том числе и с камер других пользователей. Об этом пишет hvg.
Такая проблема иллюстрирует тот факт, что в целом миллионы камер этого производителя могли быть незащищенными.
Как отметило издание, Meari - это китайский бренд, камеры которого продаются под сотнями (!) названий на различных онлайн-торговых площадках. К этой компании, среди прочих, можно отнести бренды Arenti, Anran, Boifun и ieGeek.
Инженер-программист Сэмми Аздуфал, который недавно случайно получил доступ к тысяче роботов-пылесосов, говорит, что почти тем же методом он получил удаленный доступ к 1,1 млн камер Meari.
"Для этого ему пришлось лишь проанализировать соответствующее приложение для Android, в котором он нашел ключ безопасности - это обеспечило ему доступ ко всем таким камерам в 118 странах", - добавили в публикации.
Это означает, что любой, кто хоть немного разбирался в этих системах, мог просматривать изображения с более чем миллиона камер. Проблему усугубляет то, что Meari не заботится о защите своих систем, ведь многие из них до сих пор "защищены" стандартным паролем (например: admin). Это все равно что оставить ключ в дорогостоящей бронированной двери. Снаружи.
По словам Аздуфала, он получил доступ к домам людей, узнал их адреса электронной почты, а также примерное место их нахождения. Более того, ему удалось просмотреть десятки тысяч фотографий, которые хранились на серверах Alibaba по общедоступным веб-адресам.
"Я могу просматривать фотографии без каких-либо паролей и взломов", - сказал он.
Программист даже обратил внимание на незащищенный внутренний сервер, на котором хранились его собственные данные для входа, а также данные для аутентификации 678 сотрудников компании.
Аздуфал сообщил о проблеме компании Meari Technology, которая отреагировала на это лишь после многих попыток. В конце концов компания устранила проблемы, устранив пробелы в безопасности.
"The Verge удалось связаться с загадочным представителем компании, который сообщил, что проблемная платформа была остановлена, имена пользователей и пароли изменены, а клиентам было рекомендовано обновить базовое программное обеспечение устройств. Версии 3.0.0 и более поздние уже теоретически защищены от уязвимостей. Однако на ряд важных вопросов ответов не получено, например, о количестве зараженных устройств, а также о том, воспользовались ли уже злоумышленники этой уязвимостью", - подчеркнули в материале.
Другие интересные материалы
Как писал УНИАН, ранее в Тихом океане обнаружили удивительную рыбу, напоминающую персонажа из известного детского шоу. Имея длинный рыло и волосоподобные нити, "волосатая рыба-трубка-призрак" имеет несомненное сходство с лучшим другом Большой Птицы (вымышленный персонаж детской телепередачи "Улица Сезам").
Также эксперты объяснили, почему стоит отказаться от чеков в банкомате. По их словам, проблема заключается в том, что этот простой лист бумаги может содержать конфиденциальную информацию о банковском счете.
