Μια εταιρεία Wi-Fi καμερών που μάλλον οι περισσότεροι δεν έχουν ξανακούσει.
Η Meari Technology, κινεζική εταιρεία white-label, κατασκευάζει κάμερες που κυκλοφορούν με εκατοντάδες διαφορετικά ονόματα. Πολλά από αυτά μοιάζουν με τυπικά Amazon brands, όπως τα Arenti, Anran, Boifun και ieGeek. Ωστόσο, οικονομικά στοιχεία δείχνουν ότι ένας από τους μεγαλύτερους πελάτες της εταιρείας είναι η Wyze, ενώ ο μεγαλύτερος είναι η Zhiyun. Πολλές από τις ευάλωτες κάμερες προέρχονταν επίσης από την Intelbras. Τουλάχιστον μία κάμερα παρακολούθησης κατοικίδιων της Petcube φαίνεται επίσης να είναι προϊόν της Meari.
Ο Sammy Azdoufal, ο Γάλλος που είχε δημιουργήσει έναν απομακρυσμένα ελεγχόμενο «στρατό» από ρομποτικές σκούπες DJI Romo χωρίς να το επιδιώξει πραγματικά, λέει στο The Verge ότι εντόπισε με τον ίδιο περίπου τρόπο 1,1 εκατομμύριο κάμερες Meari με απομακρυσμένη πρόσβαση. Εξετάζοντας την εφαρμογή για Android, λέει ότι κατάφερε να استخراجάγει ένα μοναδικό κλειδί που του έδινε πρόσβαση σε συσκευές σε 118 χώρες.
Κάθε μία από αυτές τις συσκευές μετέδιδε τα δεδομένα της σε όποιον ήξερε να ακούσει. Ή σε όποιον ήξερε να μαντέψει τους κωδικούς της εταιρείας, πολλοί από τους οποίους παρέμεναν στις εργοστασιακές ρυθμίσεις. Ένας από αυτούς ήταν το «admin». Ένας άλλος ήταν το «public».
Όταν ο Azdoufal συνέδεσε τη ροή δεδομένων MQTT με έναν χάρτη του κόσμου που είχε φτιάξει, λέει ότι μπορούσε να δει «τα πάντα». Μπορούσε να βλέπει μέσα στα σπίτια των ανθρώπων. Μπορούσε να δει τις διευθύνσεις email τους και τις κατά προσέγγιση τοποθεσίες τους.
Μπορούσε επίσης να δει δεκάδες χιλιάδες φωτογραφίες από αυτές τις κάμερες, αποθηκευμένες σε διακομιστές της Alibaba στην Κίνα, σε δημόσιες web διευθύνσεις χωρίς καμία προστασία, ανάμεσά τους και οι φωτογραφίες που περιγράφονται στην αρχή του ρεπορτάζ.
«Μπορώ να ανακτήσω τη φωτογραφία χωρίς κανέναν κωδικό, χωρίς σπάσιμο κωδικών, χωρίς hacking», λέει ο Azdoufal. «Απλώς κάνω κλικ στο URL και η εικόνα εμφανίζεται».
Ο Azdoufal λέει ότι βρήκε ακόμη και έναν εσωτερικό διακομιστή χωρίς προστασία, όπου οι κωδικοί και τα διαπιστευτήρια της Meari ήταν εκτεθειμένα σε κοινή θέα, μαζί με λίστα με όλους τους 678 εργαζομένους και τα email και τα τηλέφωνά τους. «Μιλάω με το αφεντικό, έχω το νούμερό του, στέλνω WeChat», λέει γελώντας.
Σύμφωνα με τον ίδιο, τότε ήταν που η Meari άρχισε επιτέλους να απαντά στα email του. Παρότι αναφορές για ευπάθειες στην πλατφόρμα CloudEdge της Meari υπάρχουν εδώ και χρόνια και έκθεση για ευπάθεια στα τέλη του 2025 προέβλεπε τη ζημιά που θα μπορούσε να προκαλέσει ο σχεδιασμός MQTT της εταιρείας, λέει ότι η Meari δεν τον πήρε στα σοβαρά μέχρι να αποδειχθεί ότι ήταν ευάλωτοι και οι δικοί της εργαζόμενοι.
Στις 10 Μαρτίου, η Meari έκοψε την πρόσβαση του Azdoufal και έκλεισε το βασικό κενό ασφαλείας. Όταν είχα αγοράσει τρεις κάμερες από συνεργάτες της Meari, ελπίζοντας να δω ζωντανά την επίθεση, ήταν ευτυχώς ήδη αργά για να το διαπιστώσω ο ίδιος. Ακόμη κι αν δεν υπάρχει GIF με εμένα να με περνάει από πάνω ρομποτικό χλοοκοπτικό, δεν χρειαζόταν να πάρω τον λόγο του Azdoufal ως δεδομένο για να καταλάβω ότι η πιθανή ζημιά ήταν πραγματική.
«Υπό συγκεκριμένες τεχνικές συνθήκες, οι επιτιθέμενοι θα μπορούσαν να υποκλέψουν όλα τα μηνύματα που μεταδίδονται μέσω της πλατφόρμας EMQX IoT χωρίς άδεια χρήστη», παραδέχτηκε ανώνυμος εκπρόσωπος της «Meari Technology Security Team» στο The Verge, όταν επικοινωνήσαμε μαζί τους με email. Η εταιρεία δεν έδωσε ονομασμένο εκπρόσωπο, όπως προβλέπει η πολιτική μας για τα background, αλλά δημοσιεύουμε τη δήλωση επειδή αποτελεί σαφή παραδοχή της βασικής ευπάθειας.
Η εταιρεία αναφέρει επίσης ότι εντόπισε «Risk of potential Remote Code Execution (RCE) due to weak password issues on the scheduled task platform». Και στις δύο δηλώσεις, η έμφαση είναι δική τους.
Για να διορθωθούν τα προβλήματα, ο ανώνυμος εκπρόσωπος της Meari λέει ότι η εταιρεία έκλεισε πλήρως την πλατφόρμα EMQX, άλλαξε ονόματα χρήστη και κωδικούς και ζήτησε από τους πελάτες της να αναβαθμίσουν τις συσκευές στην πιο πρόσφατη έκδοση firmware, υποστηρίζοντας ότι επηρεάζονται μόνο εκδόσεις κάτω από 3.0.0.
Η Meari, όμως, δεν μας είπε:
Ο Azdoufal λέει ότι, όπως είχε αρχικά σχεδιαστεί το σύστημα της Meari, οποιαδήποτε μάρκα θα μπορούσε να έχει πρόσβαση στις κάμερες οποιασδήποτε άλλης μάρκας, καθώς όλες μοιράζονταν τους ίδιους διακομιστές και τους ίδιους κωδικούς.
Παρότι το κλείσιμο της πλατφόρμας EMQX μπλόκαρε την απομακρυσμένη πρόσβαση, ο Azdoufal επιβεβαιώνει ότι δεν είναι σαφές τι συμβαίνει τώρα με το ένα εκατομμύριο κάμερες. Η Meari δεν έχει πει πόσες από αυτές μπορούν πράγματι να λάβουν νέο firmware update, ούτε αν οι συνεργάτες της έχουν μεταφέρει έστω και μια προειδοποίηση σε όσους έχουν αυτές τις κάμερες στα σπίτια τους.
Επικοινωνήσαμε με ορισμένους συνεργάτες της Meari για να δούμε αν γνώριζαν καν το πρόβλημα. Η Wyze και η Petcam δεν απάντησαν. Ούτε η EMQX.
Η εκπρόσωπος της Intelbras, Kennya Gava, λέει στο The Verge ότι η εταιρεία συνεργάστηκε με τη Meari μόνο για τρία Wi-Fi video doorbells και ότι «λιγότερα από 50» τεμάχια είχαν «πιθανή ευπάθεια». Ο αριθμός αυτός δεν ταιριάζει με την εικόνα που περιγράφει ο Azdoufal. Η Intelbras φαινόταν να είναι μία από τις πιο δημοφιλείς μάρκες στο dataset του, με υψηλή συγκέντρωση καμερών στη Βραζιλία. Η Gava δεν είπε αν η Meari είχε επικοινωνήσει μαζί τους για τις ευπάθειες ή αν η Intelbras θα έστελνε προειδοποίηση στους δικούς της πελάτες.
Όταν επικοινωνήσαμε με τη Μικτή Ειδική Επιτροπή της Βουλής των Αντιπροσώπων για το Κομμουνιστικό Κόμμα της Κίνας σχετικά με τη Meari, το γραφείο του βουλευτή Ro Khanna (D-CA) απάντησε ότι οι αναφορές είναι ανησυχητικές: «Θα το εξετάσω ως ανώτερο μέλος της Ειδικής Επιτροπής για την Κίνα», δεσμεύτηκε ο Khanna.
Τα καλά νέα είναι ότι ο Azdoufal λέει πως τα περισσότερα από όσα εντόπισε φαίνεται να έχουν διορθωθεί και ότι στις 7 Μαΐου έλαβε αμοιβή 24.000 ευρώ για τη βοήθειά του. Η εμπειρία, πάντως, φαίνεται πως του άφησε άσχημη γεύση.
Τον Μάρτιο, αφού μοιράστηκε για πρώτη φορά την έρευνά του με τη Meari, η εταιρεία του έστειλε αυτό που ο ίδιος εξέλαβε ως συγκαλυμμένη απειλή. Του είπε ότι ήταν «απολύτως ικανή να προστατεύσει τα συμφέροντά μας», ότι γνώριζε πού μένει και ότι η ανακάλυψή του για τους εσωτερικούς διακομιστές της Meari ήταν «παράνομη».
Δεν του άρεσε επίσης ότι η Meari προσπάθησε αρχικά να αναδρομολογήσει τα δελτία ασφαλείας της στις 2 Μαρτίου. Με αυτόν τον τρόπο θα φαινόταν ότι η Meari είχε εντοπίσει τις ευπάθειες πριν από εκείνον. Ακόμη και σήμερα, τα δελτία φέρουν ημερομηνία 12 Μαρτίου, σχεδόν έναν μήνα πριν η Meari τα δημοσιεύσει τον Απρίλιο. Σημειώνει επίσης ότι η Meari δεν έχει ακόμη εκπληρώσει τις υποχρεώσεις της βάσει του GDPR, ώστε να ενημερώσει πολίτες της ΕΕ για την παραβίαση.
Θα ήθελα να πω ότι περιέγραψα κάθε αξιοσημείωτο λάθος που εντόπισε ο Azdoufal στις πρακτικές της Meari, αλλά περισσότερα μπορείτε να βρείτε στην πλήρη έκθεση ασφαλείας του. Αυτή τη φορά συνεργάστηκε επίσης με τον Tod Beardsley της runZero για να καταθέσουν πέντε επίσημες αναφορές ευπαθειών CVE.
Κατά την έρευνα για το συγκεκριμένο θέμα, διαπίστωσα ότι πολλές baby monitors στο Amazon διαφημίζονται πλέον ως «No Wi-Fi». Αυτό δεν σημαίνει αυτόματα ότι είναι ασφαλείς — όμως τουλάχιστον η μετάδοσή τους μέσω FHSS ή DECT μικρής εμβέλειας θα είναι δύσκολο να υποκλαπεί από την άλλη πλευρά του πλανήτη.
Αυτός είναι ο τίτλος για τη native διαφήμιση
