Los ojos del niño miran directamente a la lente de la cámara. Un niño con una camisa a rayas mira hacia arriba y luego hacia otro lado. Un niño vestido de policía con una estrella dorada en el pecho. Un dormitorio desordenado que me recuerda al de mis hijas, con una litera desordenada, un gorrito y una diadema de niña y un póster de Hello Kitty en la pared.
Un pensamiento se repite en mi mente: no debería ver esto. Ningún extraño debería hacerlo.
Pero los malos actores podrían haber espiado fácilmente todos estos sitios (y un millón más) porque muchos de los monitores de bebés y cámaras de seguridad Wi-Fi de Meari Technology eran muy inseguros. Si tenías acceso a una de esas cámaras, en teoría, tenías acceso a todas.
Meari es una marca china de marca blanca cuyas cámaras se venden con cientos de nombres diferentes. Muchos de ellos suelen ser vendedores de Amazon de buena reputación, como Arenti, Anran, Boifun e ieGeek. Pero los registros financieros muestran que uno de los mayores clientes de la empresa es Wyze; Su mayor cliente es Zhiyun. Muchas de las cámaras pirateadas eran de Intelbras. Al menos una de las cámaras de seguridad para mascotas de Petcube también parece ser un producto de Meari.
Sami Azdoval, el francés que creó un ejército de robots aspiradores DJI Romo con control remoto sin intentarlo realmente, dice Borde Descubrió que se podía acceder de forma remota a 1,1 millones de cámaras Meari de forma muy parecida. Azduval dice que una vez que escaneó la aplicación de Android, pudo extraer una clave única que le dio acceso a dispositivos en 118 países.
Cada uno de esos millones de dispositivos estaba transmitiendo su información a cualquiera que supiera escuchar. O cualquiera que sepa cómo adivinar las contraseñas de una empresa, muchas de las cuales todavía están configuradas de forma predeterminada. Una de esas contraseñas era «admin». La última palabra fue «general».
Cuando Azduval vinculó un flujo de datos MQTT a un mapa mundial codificado, dijo que podía ver «todo». Podía ver el interior de las casas de las personas. Podía ver sus direcciones de correo electrónico y ubicaciones aproximadas.
También puede ver decenas de miles de fotografías tomadas con estas cámaras, almacenadas en los servidores chinos de Alibaba en direcciones web públicas sin ninguna protección, incluidas las fotografías que describo al principio de esta historia.
«Puedo recuperar la imagen sin contraseñas ni piratería», dice Azdoval. «Simplemente hago clic en la URL y aparece esta imagen».
Azduval dice que incluso lo encontraron desprotegido interno Un servidor que contiene las contraseñas y credenciales de Meari expuestas a plena vista, así como una lista de los 678 empleados con sus direcciones de correo electrónico y números de teléfono. “Hablo con mi jefe, tengo su número y le envío un mensaje a través de WeChat”, se ríe Azdoval.
Dice que fue entonces cuando Merry finalmente comenzó a responder sus correos electrónicos. Aunque ha habido informes de vulnerabilidades de seguridad en la plataforma CloudEdge de Meari data de hace añosy un Informe de vulnerabilidad a finales de 2025 Predijo el daño que causaría el diseño de Meari MQTT y dice que la empresa no lo tomó en serio hasta que se demostró que sus empleados estaban en riesgo.
El 10 de marzo, Merry cortó el acceso a Azduval y cerró el cráter principal. Cuando compré tres cámaras de los proveedores de Meari con la esperanza de obtener una demostración en vivo del truco, ya era (¡afortunadamente!) demasiado tarde para verlo en acción por mí mismo. Pero aunque no había ningún GIF de mí siendo atropellado por un robot cortacésped, no tuve que creer en la palabra de Azduval de que el daño potencial era real.
«Bajo determinadas circunstancias técnicas, los atacantes pueden interceptar Todos los mensajes enviados a través de la plataforma EMQX IoT Sin el permiso del usuario”, admitió un portavoz del equipo de seguridad de Meari Technology. Bordecuando nos comunicamos por correo electrónico. (La empresa no proporcionó un portavoz de acuerdo con nuestra política de antecedentes, pero mantenemos la declaración porque representa un reconocimiento claro de la vulnerabilidad subyacente).
La compañía también dice que ha descubierto «riesgos potenciales Ejecución remota de código (RCE) Debido a problemas de contraseñas débiles en la plataforma de Tareas programadas. (En ambas declaraciones, la negrita es de ellos).
Para solucionar los problemas, un portavoz anónimo de Meari dice que cerró toda su plataforma EMQX, cambió nombres de usuarios y contraseñas y exigió a sus clientes que actualizaran los dispositivos al firmware más reciente (afirma que solo las versiones inferiores a 3.0.0 se ven afectadas).
Pero Merry no nos dijo:
- Cuántas cámaras o marcas ya estaban en riesgo;
- Si esas marcas advirtieron adecuadamente a sus clientes;
- si realmente se ha abusado de estas vulnerabilidades;
- ¿Qué impide (si es que hay algo) que un empleado de Meari o cualquiera de sus proveedores espíe a personas del otro lado del mundo?
Según la forma en que Meari diseñó originalmente su sistema, cualquier marca puede acceder a las cámaras de cualquier otra marca, ya que todas comparten los mismos servidores y contraseñas, dice Azduval.
Mientras la plataforma EMQX está cerrada un acto Azdoval confirma que no está claro qué pasa ahora con esos millones de cámaras. Meari no nos dijo cuántos de estos dispositivos podrían recibir una nueva actualización de firmware, o si los socios de Meari ya han enviado una advertencia a las personas que tienen estas cámaras en sus hogares.
Intentamos comunicarnos con algunos de los compañeros de cámara de Meari para ver si están al tanto del problema. Wyze y Petcam no respondieron. EMQX tampoco.
Intelbrass dice Bordea través del portavoz externo Kennya Gava, dijo que la compañía solo trabajó con Meari en tres timbres con video Wi-Fi y que «menos de 50» unidades tenían una «vulnerabilidad potencial». Este pequeño número no concuerda con la historia de Azduval. Intelbras parece ser una de las más Marcas populares en su conjunto de datos, con una alta concentración de cámaras en Brasil. Java no dijo si Meari había estado en contacto sobre las vulnerabilidades o si Intelbras enviaría una advertencia a sus clientes.
Cuando nos comunicamos con el Comité Selecto del Congreso sobre China sobre Merry, la oficina del congresista Ro Khanna (D-CA) respondió que los informes eran preocupantes: “Investigaré este asunto como miembro de mayor rango del Comité Selecto sobre China”, prometió Khanna.
La buena noticia es que Azduval dice que la mayor parte de lo que descubrió parece haberse solucionado y el 7 de mayo recibió una recompensa de 24.000 euros por su ayuda. Pero la experiencia parece haberle dejado mal sabor de boca.
En marzo, después de compartir por primera vez su investigación con Merry, la empresa le envió lo que él interpretó como una amenaza velada. La empresa le dijo que era «plenamente capaz de proteger nuestros intereses», que sabía dónde vivía y que su descubrimiento de los servidores internos de Merry era «ilegal».
Tampoco está contento de que Merry inicialmente haya intentado ponerle una fecha anterior. que protección Boletines Hasta el 2 de marzo. De esta manera, parecería que Merry descubrió las debilidades antes de acercarse a ella. Incluso hoy, los boletines todavía tienen fecha del 12 de marzo, aproximadamente un mes antes de que Mayari los publicara en abril. También señala que Meari aún no ha cumplido con sus obligaciones según el RGPD de notificar a los ciudadanos de la UE sobre la infracción.
Ojalá pudiera decir que he descrito todo lo valioso que Azduval descubrió sobre las prácticas de Merry, pero puedes encontrar más en Escritura de seguridad completa. También colaboró Con Todd Beardsley de runZero para ofrecer cinco Funcionario que lucha contra el extremismo violento son débiles Informes esta vez.
Mientras investigaba esta historia, descubrí que una gran cantidad de monitores para bebés en Amazon ahora anuncian «No hay Wi-Fi». Esto no significa automáticamente que estén a salvo, pero al menos sus transmisiones FHSS o DECT de corto alcance serán difíciles de espiar desde el otro lado del mundo.
(etiquetas para traducción) Noticias