Bir milyon uşaq monitoru və təhlükəsizlik kamerası hakerlər üçün asanlıqla əlçatan olub
“Meari Technology” şirkətinə məxsus təxminən bir milyon uşaq monitoru və təhlükəsizlik kamerası hakerlər üçün asanlıqla əlçatan vəziyyətdə olub. Fransalı təhlükəsizlik mütəxəssisi Səm Azdufal (Sammy Azdoufal) tərəfindən aşkar edilən bu boşluq sayəsində hakerlər 118 ölkədəki cihazlara daxil ola və şəxsi məlumatları, o cümlədən on minlərlə şəkilləri əldə edə bilərdilər. Bu, ağıllı cihazların məxfilik təhlükələrini bir daha gündəmə gətirir.
Bir körpənin gözləri birbaşa kamera obyektivinə baxır. Zolaqlı köynəkli bir uşaq yuxarı baxır, sonra uzaqlaşır. Sinəsində qızıl ulduz olan polis geyimində bir oğlan. Hazırlanmamış ikimərtəbəli çarpayı, kiçik bir qızın şlyapası və saç bandı, divarda isə “Hello Kitty” şəkilləri ilə öz qızlarımınkini xatırladan dağınıq bir yataq otağı.
Bir fikir ağlımda təkrarlanır: mən bunu görməməliyəm. Heç bir kənar şəxs görməməlidir.
Lakin pis niyyətli şəxslər bu yerləri — və bir milyondan çoxunu — asanlıqla izləyə bilərdilər, çünki “Meari Technology”nin bir çox Wi-Fi uşaq monitorları və təhlükəsizlik kameraları absurd dərəcədə etibarsız idi. Bu kameralardan birinə girişiniz olsaydı, nəzəri olaraq hamısına girişiniz olardı.
“Meari” yüzlərlə fərqli ad altında kameralar təklif edən bir Çin “white-label” (başqa şirkətlər tərəfindən öz markaları ilə satılan məhsullar) brendidir. Onların bir çoxu “Arenti”, “Anran”, “Boifun” və “ieGeek” kimi ümumi səslənən “Amazon” satıcılarıdır. Lakin maliyyə qeydləri göstərir ki, şirkətin ən böyük müştərilərindən biri “Wyze”, ən böyük müştərisi isə “Zhiyun”dur; hakerlər tərəfindən əlçatan olan bir çox kamera “Intelbras”dan idi. “Petcube”nin heyvan monitorinq kameralarından ən azı biri də “Meari” məhsulu kimi görünür.
Fransalı Səm Azdufal (Sammy Azdoufal) – cəhd etmədən “DJI Romo” robot tozsoranlarından ibarət uzaqdan idarə olunan ordu yaratmış şəxs – “The Verge”ə bildirir ki, o, 1,1 milyon uzaqdan əlçatan “Meari” kamerasını demək olar ki, eyni şəkildə tapıb. Azdufalın dediyinə görə, o, yalnız “Android” proqramını yoxlayaraq, 118 ölkədəki cihazlara giriş imkanı verən tək bir açar əldə edə bilib.
Bu bir milyon cihazın hər biri məlumatlarını necə dinləməyi bilən hər kəsə yayımlayırdı. Və ya şirkətin şifrələrini tapmağı bilən hər kəsə, onların bir çoxu hələ də standart olaraq təyin edilmişdi. Bu şifrələrdən biri “admin” sözü idi. Digəri isə “public” sözü idi.
Azdufal MQTT məlumat axınını dünyanın “vibe-coded” (emosional kodlu) xəritəsinə qoşduqda, “hər şeyi” görə bildiyini söylədi. O, insanların evlərini görə bilirdi. Onların e-poçt ünvanlarını və təxmini yerlərini görə bilirdi.
O, həmçinin bu kameralardan on minlərlə şəkil görə bilirdi; bu şəkillər Çin “Alibaba” serverlərində heç bir qorunma olmadan, ictimai veb ünvanlarında saxlanılırdı, o cümlədən bu hekayənin əvvəlində təsvir etdiyim şəkillər.
Azdufal deyir: “Mən heç bir şifrə, sındırma, hakerlik olmadan şəkli əldə edə bilərəm. Sadəcə URL-ə klikləyirəm və bu şəkil görünür.”
Azdufal hətta “Meari”nin şifrələri və etimadnamələrinin açıq şəkildə ifşa olunduğu qorunmayan daxili server tapdığını, habelə bütün 678 işçinin e-poçt ünvanları və telefon nömrələri ilə bir siyahısını gördüyünü söyləyir. “Mən rəislə danışdım, nömrəsi var, “WeChat” göndərdim,” Azdufal gülür.
O, deyir ki, “Meari” məhz o zaman onun e-poçtlarına cavab verməyə başlayıb. Baxmayaraq ki, “Meari”nin “CloudEdge” platformasındakı zəifliklər haqqında hesabatlar illər əvvələ təsadüf edir və 2025-ci ilin sonlarındakı bir zəiflik hesabatı “Meari”nin MQTT dizaynının verə biləcəyi ziyanı proqnozlaşdırsa da, o, şirkətin öz işçilərinin həssas olduğu sübut olunana qədər onu ciddiyə almadığını bildirir.
Martın 10-da “Meari” Azdufalın girişini kəsdi — və əsas boşluğu bağladı. Mən sındırma prosesinin canlı demosunu görmək ümidi ilə üç “Meari” satıcısının kamerasını aldığım vaxt (şükür ki!) artıq gec idi. Lakin robot çəmənbiçən tərəfindən vurulduğum bir GIF olmasa da, potensial ziyanın real olduğuna Azdufalın sözünə inanmaq məcburiyyətində deyildim.
“Müəyyən texniki şərtlər daxilində hücumçular ötürülən bütün mesajları ələ keçirə bilər.”
The Verge
A million baby monitors and security cameras were easily viewable by hackers
Orijinal məqaləyə keç


