Французький дослідник безпеки Се́ммі Аздуфа́л виявив критичну вразливість у мережі відеонянь та камер спостереження, виготовлених китайською компанією Meari Technology, яка потенційно ставить під загрозу приватність понад мільйона користувачів у 118 країнах світу. Ця вразливість, як повідомляє The Verge, дозволяла стороннім особам здійснювати моніторинг у реальному часі приватних приміщень, включаючи дитячі кімнати, та отримувати доступ до конфіденційної інформації.
Масштаб проблеми та її причини
Meari Technology працює за моделлю “white-label”, що означає виробництво пристроїв, які згодом продаються під різними торговими марками. Серед відомих брендів, що використовують продукцію Meari, згадуються Arenti, Boifun, ieGeek, а також моделі від Wyze, Petcube та Intelbras, доступні на таких платформах, як Amazon. Дослідник Се́ммі Аздуфа́л, провівши аналіз Android-застосунку компанії, виявив, що для отримання доступу до камер було достатньо одного ключа, що відкривав підключення до всіх пристроїв. Він стверджує, що камери передавали дані практично без захисту, а деякі пристрої використовували стандартні, легко вгадувані паролі, такі як “admin” або “public”.
Ці слабкі місця в системі безпеки могли дозволяти зловмисникам місяцями, а то й роками, переглядати відеостріми, отримувати доступ до фотографій, email-адрес користувачів, а також визначати приблизне місцезнаходження пристроїв. Аздуфал особисто спостерігав “тисячі знімків” із приватних домівок, що свідчить про надзвичайно серйозний витік приватної інформації. Частина викраденого контенту зберігалася на серверах Alibaba у відкритому доступі, без будь-якого додаткового захисту, що ще більше посилювало ризики. Дослідник також отримав доступ до внутрішніх серверів Meari, використовуючи відкриті облікові дані, що надало йому доступ до контактної інформації співробітників компанії.
Історія виявлення та реакція компанії
Се́ммі Аздуфа́л вже мав досвід виявлення вразливостей у технологічних пристроях. Зокрема, у лютому 2026 року він отримав доступ до камер 6700 роботів-пилососів DJI, коли експериментував зі створенням кастомного контролера. Цього разу масштаби виявленої проблеми виявилися значно більшими.
Варто зазначити, що Meari Technology спочатку ігнорувала звернення Аздуфала, навіть погрожуючи йому, натякаючи на знання його адреси та звинувачуючи у вчиненні злочину.
Однак, після тривалих зусиль дослідника, компанія виплатила йому винагороду у розмірі 24 000 євро в рамках програми “bug bounty” та розпочала роботу над усуненням вразливості. Була вимкнена частина інфраструктури, змінені облікові дані, а користувачам було рекомендовано оновити програмне забезпечення камер до версії 3.0.0 або новішої. Проте, досі залишається незрозумілим, скільки саме камер було під загрозою, і чи траплялися випадки несанкціонованого доступу до вразливостей до їх виправлення.
Подальші кроки та наслідки
Виявлена вразливість у пристроях Meari Technology підкреслює загальну проблему безпеки IoT-пристроїв (Інтернету речей), яка потребує уваги як виробників, так і споживачів. Незважаючи на виправлення, компаніям слід впроваджувати більш надійні механізми захисту даних та регулярно проводити аудити безпеки.
- Виробникам необхідно забезпечувати надійне шифрування даних та унікальні паролі для кожного пристрою.
- Споживачам рекомендується регулярно оновлювати програмне забезпечення своїх пристроїв та використовувати складні, унікальні паролі.
- Дослідники безпеки відіграють ключову роль у виявленні та виправленні таких критичних вразливостей.
Цей інцидент також привернув увагу до практики “white-label” виробництва, яка може ускладнювати відстеження відповідальності за безпеку кінцевого продукту.
Інші випадки проблем з безпекою
Цікаво, що нещодавно виникли питання щодо безпеки вуличних камер Ring, дочірньої компанії Amazon, які, за деякими даними, можуть бути використані для масового стеження, що ставить під сумнів приватність користувачів.
Ці події свідчать про необхідність підвищення стандартів безпеки у сфері виробництва та використання “розумних” пристроїв, щоб забезпечити захист приватної інформації мільйонів людей по всьому світу.
