Máte doma kameru? Tieto mohli byť ľahko zneužité
Zdroj: Nano Banana 2
2m čítanie

Máte doma kameru? Tieto mohli byť ľahko zneužité

Vybrať si dôveryhodnú kameru je základ, inak je riziko, že vás budú môcť sledovať.

Chyby síce neobchádzajú ani spoľahlivé značky, ale máte istotu servisu a toho, že sa na problém niekto pozrie. Najrizikovejšietzv. OEM kamery. Áno, presne podľa toho vtipu, že logo sa lepí až na konci výrobnej linky. Hovorí sa tomu white-label model.

Sammy Azdoufal upozornil na GitHube na zraniteľnosti v cloudovej platforme firmy Meari Technology. Ide o čínskeho výrobcu, ktorého technológie využívajú stovky značiek predávajúcich bezpečnostné kamery a tzv. baby monitory po celom svete.

Problém sa teda netýkal iba jednej špecifickej značky, ale celej platformy. Práve na nej funguje viacero „značiek“ viacerých výrobcov. Celkovo išlo o viac ako 300 značiek, napríklad Arenti, BOIFUN, COCOCAM, PetTec, SV3C, Joystek, Luvion alebo Vimar.

Prístup ku kamerám

Tu je zaujímavé to, že nešlo o to hacknúť jednu značku kamery. Stačilo sa dostať do cloudového systému, ktorý poskytoval prístup pre používateľov týchto kamier. Azdoufal pri analýze mobilnej aplikácie objavil pevne uložený bezpečnostný kľúč, ktorý umožnil dostať sa ku cloudovej infraštruktúre firmy Meari.

Systém umožňoval prístup k údajom približne 1,1 milióna zariadení v 118 štátoch sveta. K dispozícii boli informácie o samotných kamerách, používateľských účtoch aj fotografie vytvorené pri detekcii pohybu.

Podľa zverejnených informácií bolo možné zobraziť zábery z domácností vrátane detských izieb, pričom viditeľné boli aj emailové adresy používateľov či približná poloha zariadení.

camera hack Meari
Zdroj: xn0tsa / GitHub

Firma upravila nastavenia

Firma Meari upravila konfiguráciu cloudových služieb, zmenila prihlasovacie údaje a pripravila opravy pre dotknuté zariadenia. Nedá sa ale povedať, koľko kamier bolo skutočne aktualizovaných.

Pri lacných IoT zariadeniach totiž často nastáva problém, že výrobca prestane po niekoľkých rokoch poskytovať nové aktualizácie alebo ich používatelia vôbec nenainštalujú. Na toto tiež upozorňujú bezpečnostní experti. Máte zabezpečenú sieť a potom si domov donesiete do siete lacné IoT, o ktorom nič neviete a výrobca možno už ani neexistuje.

Ako sa vyhnúť riziku?

Ideálne kupovať kamery u výrobcoch, ktorých poznáte a majú nejaké vybudované meno. Pokojne TP-Link, D-Link napríklad. Po kúpe kamery zmeňte predvolené heslo, zapnite dvojfaktorové overovanie, ak je dostupné a stiahnite nové aktualizácie.

Zdroj: xn0tsa/nobody-puts-baby-in-a-corner, The Verge

Prečítajte si aj: