Очі дитини дивляться прямо в об’єктив камери. Хлопчик у смугастій футболці дивиться вгору, а потім відводить погляд. Хлопець у костюмі поліцейського, золота зірка на грудях. Безладна спальня, що нагадує про моїх дочок, з незастеленим двоярусним ліжком, маленьким капелюшком і обручем для голови, а також Hello Kitty на стіні.
Одна думка повторюється в моїй голові: Я не повинен це бачити. Жодна незнайома людина не повинна.
Але зловмисники могли легко шпигувати за всіма цими місцями — і мільйонами інших — тому що багато Wi-Fi моніторів для дітей і камер безпеки Meari Technology були надзвичайно вразливими. Якщо у вас був доступ до однієї з цих камер, теоретично ви мали доступ до всіх.
Meari — це китайський бренд, чиї камери постачаються під сотнями різних назв. Багато з них є загальними продавцями на Amazon, такими як Arenti, Anran, Boifun і ieGeek. Але фінансові записи показують, що одним з найбільших клієнтів компанії є Wyze; її найбільший клієнт — Zhiyun; а багато вразливих камер були від Intelbras. Принаймні одна з камер для моніторингу домашніх тварин Petcube також, здається, є продуктом Meari.
Саммі Аздуфал — чоловік з Франції, який створив віддалену армію роботизованих пилососів DJI Romo без особливих зусиль — розповідає The Verge, що він знайшов 1,1 мільйона камер Meari, доступних віддалено, майже так само. Просто перевіривши Android-додаток, Аздуфал каже, що зміг витягти один ключ, який дав йому доступ до пристроїв у 118 країнах.
Кожен з цих мільйона пристроїв транслював свою інформацію всім, хто знав, як слухати. Або будь-кому, хто знав, як вгадати паролі компанії, багато з яких все ще були встановлені за замовчуванням. Один з цих паролів — слово «admin». Інший — слово «public».
Коли Аздуфал підключив потік даних MQTT до картки світу, він каже, що міг бачити «все». Він міг бачити в будинки людей. Він міг бачити їхні електронні адреси та приблизні місця розташування.
Він також міг бачити десятки тисяч фотографій з цих камер, які зберігалися на китайських серверах Alibaba за публічними веб-адресами без будь-якого захисту, включаючи фотографії, які я описую на початку цієї історії.
«Я можу отримати зображення без будь-яких паролів, без злому, без хакерства», — каже Аздуфал. «Я просто натискаю на URL, і це зображення з’являється».
Аздоуфал каже, що він навіть знайшов незахищений внутрішній сервер з паролями та обліковими даними Meari, які були відкриті на виду, а також список усіх 678 співробітників з їхніми електронними адресами та номерами телефонів. «Я можу поговорити з босом, у мене є його номер, я відправляю WeChat», — сміється Аздуфал.
Саме тоді Meari нарешті почала відповідати на його електронні листи. Незважаючи на те, що повідомлення про вразливості в платформі CloudEdge Meari датуються роками, і звіти про вразливості наприкінці 2025 року передбачали шкоду, яку може завдати дизайн MQTT Meari, він каже, що компанія не сприймала його серйозно, поки її власні співробітники не виявилися вразливими.
10 березня Meari закрила доступ Аздуфала — і закрила основну дірку. До того часу, коли я купив три камери від постачальників Meari в надії отримати живу демонстрацію злому, я (на щастя!) запізнився, щоб побачити, як це працює. Але навіть якщо немає GIF, на якому я потрапляю під роботизований газонокосар, мені не потрібно було вірити на слово Аздуфала, що потенційна шкода була реальною.
«За певних технічних умов зловмисники можуть перехоплювати всі повідомлення, що передаються через платформу EMQX IoT без авторизації користувача», — визнав неназваний представник «Команди безпеки Meari Technology», коли ми звернулися до них електронною поштою. (Компанія не надала нам іменованого представника відповідно до нашої політики, але ми публікуємо цю заяву, оскільки це чітке визнання основної вразливості.)
Компанія також заявила, що виявила «ризик потенційного віддаленого виконання коду (RCE) через проблеми з паролями на платформі запланованих завдань». (У обох заявах виділення — їхнє.)
Щоб виправити проблеми, неназваний представник Meari каже, що компанія повністю закрила свою платформу EMQX, змінила імена користувачів і паролі, а також повідомила своїм клієнтам про необхідність оновити пристрої до останньої версії прошивки (вона стверджує, що лише версії нижче 3.0.0 підлягають впливу).
Але Meari не повідомила нам:
- Скільки камер або брендів насправді були вразливими;
- Чи попередили ці бренди своїх клієнтів;
- Чи вже були зловживання цими вразливостями;
- Що — якщо щось — заважає співробітнику Meari або будь-якого з її постачальників шпигувати за людьми з іншого боку світу.
Аздоуфал каже, що через те, як Meari спочатку спроектувала свою систему, будь-який бренд міг отримати доступ до камер будь-якого іншого бренду, оскільки всі вони ділили одні й ті ж сервери та паролі.
Хоча закриття платформи EMQX дійсно заблокувало віддалений доступ, Аздуфал підтверджує, що неясно, що відбувається з тими мільйоном камер зараз. Meari не повідомила нам, скільки з цих пристроїв можуть насправді отримати нове оновлення прошивки, або чи партнери Meari насправді передали попередження людям, які мають ці камери в своїх домах.
Ми намагалися зв’язатися з деякими партнерами камер Meari, щоб дізнатися, чи були вони взагалі в курсі проблеми. Wyze і Petcam не відповіли. Також не відповіла EMQX.
Представник Intelbras, що працює з Meari, Кення Гава, розповідає The Verge, що компанія працювала з Meari лише над трьома Wi-Fi відеодомофонами і що «менше 50» одиниць мали «потенційну вразливість». Ця маленька кількість не відповідає історії Аздуфала. Intelbras, здавалося, була одним з більш популярних брендів у його наборі даних, з високою концентрацією камер у Бразилії. Гава не сказав, чи зв’язувалася Meari з приводу вразливостей, або чи Intelbras передасть попередження своїм клієнтам.
Коли ми звернулися до Виборчого комітету Конгресу з питань Комуністичної партії Китаю щодо Meari, офіс конгресмена Ро Ханни (D-CA) відповів, що звіти викликають занепокоєння: «Я буду розглядати це як старший член Виборчого комітету з Китаю», — пообіцяв Ханна.
Добра новина полягає в тому, що Аздуфал каже, що більшість того, що він виявив, здається, виправлено, і 7 травня він отримав €24,000 (приблизно 1 000 000 грн) за свою допомогу. Але досвід, здається, залишив неприємний присмак.
У березні, після того як він вперше поділився своїм дослідженням з Meari, компанія надіслала йому те, що він сприйняв як завуальовану загрозу. Компанія повідомила йому, що вона «повністю здатна захистити наші інтереси», що компанія знала, де він живе, і що його відкриття внутрішніх серверів Meari було «незаконним».
Він також не задоволений тим, що Meari спочатку намагалася заднім числом датувати свої звіти про безпеку на 2 березня. Таким чином, здавалося б, що Meari виявила вразливості до того, як він звернувся. Навіть сьогодні звіти датуються 12 березня, майже за місяць до того, як Meari їх опублікувала в квітні. Він також зазначає, що Meari ще не виконала своїх зобов’язань за GDPR щодо сповіщення громадян ЄС про витік.
Я хотів би сказати, що описав усі ганьби, які Аздуфал виявив у практиці Meari, але ви можете знайти більше в його повному звіті про безпеку. Він також об’єднався з Тодом Беардслі з runZero, щоб подати п’ять офіційних звітів про вразливості CVE цього разу.
Під час дослідження цієї історії я виявив, що велика кількість дитячих моніторів на Amazon тепер рекламує «Без Wi-Fi». Це не означає, що вони автоматично безпечні — але принаймні їх короткочасна FHSS або DECT передача повинна бути важкою для прослуховування з іншого боку світу.
Цікавий факт
Вразливості в системах безпеки можуть призвести до серйозних наслідків, тому важливо завжди оновлювати прошивки пристроїв і використовувати надійні паролі.
