Підпишіться на нас в Google
Журналісти звернули увагу на дуже серйозну вразливість у Wi-Fi-камерах для спостереження за дітьми та охоронних камерах виробника Meari Technology. Проблема полягає в тому, що якщо хтось отримував доступ до однієї камери, він міг бачити зображення практично з усіх інших, у тому числі й з камер інших користувачів. Про це пише hvg.
Така проблема ілюструє той факт, що загалом мільйони камер цього виробника могли бути незахищеними.
Як зазначило видання, Meari - це китайський бренд, камери якого продаються під сотнями (!) назв на різних онлайн-торгових майданчиках. До цієї компанії, серед інших, можна віднести бренди Arenti, Anran, Boifun та ieGeek.
Інженер-програміст Семмі Аздуфал, який нещодавно випадково отримав доступ до тисячі роботів-пилососів, каже, що майже тим самим методом він отримав віддалений доступ до 1,1 млн камер Meari.
"Для цього йому довелося лише проаналізувати відповідний додаток для Android, в якому він знайшов ключ безпеки - це забезпечило йому доступ до всіх таких камер у 118 країнах", - додали у публікації.
Це означає, що будь-хто, хто хоч трохи розбирався в цих системах, міг переглянути зображення з понад мільйона камер. Проблему ускладнює те, що Meari не дбає про захист своїх систем, адже багато з них досі "захищені" стандартним паролем (наприклад: admin). Це ніби залишити ключ у дорогоцінних захисних дверях. Зовні.
За словами Аздуфала, він отримав доступ до осель людей, дізнався їхні адреси електронної пошти, а також приблизне місце їхнього перебування. Ба більше, йому вдалося переглянути десятки тисяч фото, які зберігалися на серверах Alibaba за загальнодоступними вебадресами.
"Я можу переглядати фотографії без будь-яких паролів і зломів", - сказав він.
Програміст навіть звернув увагу на незахищений внутрішній сервер, на якому зберігалися його власні дані для входу, а також дані для автентифікації 678 співробітників компанії.
Аздуфал повідомив про проблему компанії Meari Technology, яка відреагувала на це лише після багатьох спроб. Врешті-решт компанія усунула проблеми, забравши прогалини у безпеці.
"The Verge вдалося зв'язатися із загадковим речником компанії, який повідомив, що проблемну платформу було зупинено, імена користувачів та паролі змінено, а клієнтам було рекомендовано оновити базове програмне забезпечення пристроїв. Версії 3.0.0 і новіші вже теоретично захищені від вразливостей. Однак на низку важливих питань відповіді не було отримано, наприклад, щодо кількості уражених пристроїв, а також щодо того, чи вже зловмисники скористалися цією вразливістю", - підкреслили у матеріалі.
Інші цікаві матеріали
Як писав УНІАН, раніше у Тихому океані виявили дивовижну рибу, яка нагадує персонажа з відомого дитячого шоу. Маючи довге рило та волосоподібні нитки, "волохата риба-трубка-привид" має безсумнівну схожість із найкращим другом Великого Птаха (вигаданий персонаж дитячої телевізійної передачі "Вулиця Сезам").
Також експерти пояснили, чому варто відмовитися від чеків у банкоматі. За їхніми словами, проблема полягає в тому, що цей простий аркуш паперу може містити конфіденційну інформацію про банківський рахунок.
