Програміст здобув доступ до тисяч камер і даних користувачів через елементарну уразливість.

Це свідчить про те, що будь-яка особа, яка має хоча б невелику обізнаність у цих системах, могла отримати доступ до зображень з більш ніж мільйона камер.

Журналісти виявили серйозну вразливість у Wi-Fi-камерах, призначених для спостереження за дітьми, а також у охоронних камерах виробництва Meari Technology. Проблема полягає в тому, що якщо хтось отримував доступ до однієї камери, він міг бачити зображення практично з усіх інших, включаючи камери інших користувачів. Про це повідомляє hvg.

Ця ситуація ілюструє, що мільйони камер цього виробника могли бути вразливими.

Як зазначає видання, Meari – це китайський бренд, чиї камери продаються під сотнями (!) назв на різних онлайн-торгових платформах. Серед інших, до цієї компанії належать бренди Arenti, Anran, Boifun та ieGeek.

Інженер-програміст Семмі Аздуфал, який нещодавно випадково отримав доступ до тисяч роботів-пилососів, стверджує, що майже тим самим способом він отримав віддалений доступ до 1,1 млн камер Meari.

“Для цього йому потрібно було лише проаналізувати відповідний додаток для Android, де він знайшов ключ безпеки – це дало йому доступ до всіх таких камер у 118 країнах”, – додали у публікації.

Це означає, що будь-хто, хто має хоча б невелику обізнаність у цих системах, міг переглядати зображення з понад мільйона камер. Ускладнює ситуацію те, що Meari не дбає про захист своїх систем, адже багато з них досі “захищені” стандартним паролем (наприклад: admin). Це схоже на те, щоб залишити ключ у дорогих захисних дверях. Зовні.

За словами Аздуфала, він отримав доступ до домівок людей, дізнався їхні електронні адреси, а також приблизне місце їхнього перебування. Більше того, йому вдалося переглянути десятки тисяч фотографій, які зберігалися на серверах Alibaba за загальнодоступними вебадресами.

“Я можу переглядати фотографії без будь-яких паролів і зломів”, – зазначив він.

Програміст також звернув увагу на незахищений внутрішній сервер, на якому зберігалися його власні дані для входу, а також дані для автентифікації 678 співробітників компанії.

Аздуфал повідомив про цю проблему компанії Meari Technology, яка відреагувала на це лише після багатьох спроб. Врешті-решт компанія усунула проблеми, закривши прогалини у безпеці.

“The Verge вдалося зв’язатися з загадковим представником компанії, який повідомив, що проблемну платформу було зупинено, імена користувачів та паролі змінено, а клієнтам рекомендовано оновити базове програмне забезпечення пристроїв. Версії 3.0.0 і новіші вже теоретично захищені від вразливостей. Однак на низку важливих питань відповіді не було отримано, наприклад, щодо кількості уражених пристроїв, а також щодо того, чи вже зловмисники скористалися цією вразливістю”, – підкреслили у матеріалі.

Інші цікаві матеріали

Як писав УНІАН, раніше у Тихому океані виявили дивовижну рибу, яка нагадує персонажа з відомого дитячого шоу. Маючи довге рило та волосоподібні нитки, “волохата риба-трубка-привид” має безсумнівну схожість із найкращим другом Великого Птаха (вигаданий персонаж дитячої телевізійної передачі “Вулиця Сезам”).

Також експерти пояснили, чому варто відмовитися від чеків у банкоматі. За їхніми словами, проблема полягає в тому, що цей простий аркуш паперу може містити конфіденційну інформацію про банківський рахунок.