
Tahle zranitelnost se týká tisíců domácností po celém světě, takže pro rodiče, kteří sledují děti online, je tu klidný přehled o tom, co mohlo být ohroženo.

Hackeři mohli sledovat dětské pokoje Tok příběhu a hlavní fakta
Nezávislý bezpečnostní expert Sammy Azdoufal odhalil vážnou zranitelnost v cloudové platformě čínské firmy Meari Technology. Ta poskytuje infrastrukturu pro více než 300 značek chůviček a bezpečnostních kamer, včetně modelů prodávaných přes Amazon. Kvůli špatně navržené komunikační architektuře mohli útočníci přistupovat k živým snímkům z dětských pokojů a dalších soukromých prostor bez potřebné autentizace. Problém spočíval v tom, že centrální EMQX broker nekontroloval oprávnění jednotlivých uživatelů – připojení jednoho účtu stačilo k přístupu téměř ke všem zařízením v síti.
Kromě toho byla šifrování dat pouze symbolická. Kryptografický klíč byl odvozen z MD5 hashů sériových čísel a pevně zakódovaných řetězců v aplikaci. Tyto informace se navíc šířily v nezašifrovaných zprávách, což útočníkům usnadnilo dešifrování. Desetitisíce citlivých fotografií byly navíc uloženy na veřejně přístupných serverech Alibaba OSS bez nutnosti přihlášení. Mezi postižené značky patří Arenti, Boifun, Intelbras nebo PetTec.
Firma Meari Technology na začátku reagovala odmítavě a dokonce vyděsila experta s právními kroky, později ale chybu uznala, opravila část problémů a vyplatila odměnu 24 000 eur. Případ ukazuje, jak riziková může být levná chytrá elektronika založená na sdílené platformě – bezpečnostní oprava nebo změna hesla nestačí, pokud je základní architektura náchylná k útokům.
Fakta
- Expert Sammy Azdoufal odhalil zranitelnost v platformě Meari Technology, která umožňovala přístup k více než milionu kamer ve 118 zemích.
- Kamera posílala data přes veřejný EMQX broker bez ověření oprávnění – stačilo jedno uživatelské konto k přístupu téměř ke všem zařízením.
- Desetitisíce citlivých fotografií z dětských pokojů byly dostupné na veřejných serverech Alibaba OSS bez přihlášení.
- Firma Meari dodává technologii pro více než 300 značek, včetně Arenti, Boifun a PetTec, hlavně přes Amazon.
- Meari po počátečním popření chybu uznala, opravila část problémů a vyplatila 24 000 eur odměny, ale neodpověděla, kolik uživatelů bylo ohroženo.
Vizuální vysvětlení zpráv od Canto. Při tvorbě mohou pomáhat nástroje AI. Redakční zásady





