- WIADOMOŚCI
Badacz mógł oglądać zdjęcia z miliona chińskich elektronicznych niań
Bezpieczeństwo dzieci to uniwersalne dobro w naszym społeczeństwie. Niejednokrotnie w tym celu rodzice kupują elektroniczne nianie (ang. baby monitor), czyli kamery dające podgląd na zachowanie swoich pociech (np. w łóżeczkach). Jeden z badaczy znalazł ponad milion podglądów z takich urządzeń. Działania chińskiego dostawcy sprzętu mogą budzić prawne i moralne wątpliwości.
Autor. Magnific.com. Licencja: https://www.magnific.com/ai/docs/licenses-attribution
„(Badacz – przyp. red.) mógł oglądać obrazy z kamer 1,1 miliona wideonianiek na całym świecie (też w Polsce)” – czytamy w wpisie Sekuraka na X.
Sammy Azdoufal (n0tsa) szeroko opisał na swoim GitHubie szereg podatności w chińskich elektronicznych nianiach. Dołączył również ocenzurowane zdjęcia dzieci, co pokazuje skalę i powagę incydentu. Według wpisu n0tsa z 11 maja, użytkownicy nie zostali poinformowani o zdarzeniu.
Sprawdźmy bezpieczeństwo kamer (nianiek)
Koleżanka z pracy badacza bezpieczeństwa zapytała go, czy elektroniczne nianie są bezpieczne. „Nie wiem” – stwierdził, dlatego postanowił to sprawdzić. Udało mu się wykazać, że:
- Broker MQTT (centralny serwer) umożliwiał dostęp do strumienia danych urządzeń – nie weryfikowano dostępu. Badacz uzyskał dostęp do 14 tys. wiadomości (komunikatów z kamer) z 2 tys. urządzeń w ciągu 5 minut;
- Zdjęcia alertów z kamer były przechowywane w chmurze chińskiego dostawcy (Alibaba OSS) bez konieczności uwierzytelniania – były dostępne dla każdego wyłącznie w oparciu o URL. „Po prostu był to zwykły URL, z którego można pobrać obraz(y)" - Sekurak;
- Klucze wykorzystywane m.in. podczas wysyłania żądań do API były identyczne dla każdego urządzenia i niemożliwe do zmiany poprzez aktualizację (pot. „zahardkowane").
N0tsa podkreśla, że Meari (producent) praktycznie nie sprzedaje urządzeń w Europie czy Ameryce Północnej pod swoją marką. Platforma firmy miała być wykorzystywana przez 1,1 mln urządzeń z ponad 118 krajów. Sekurak zaznaczł, że mowa również o Polsce.
Podatności zostały zakwalifikowane jako HIGH (niedosł. „poważne”), otrzymując od 7.5 do 8.6 punktów w dziesięciopunktowej skali CVSS (określającej wagę bądź istotność luki).
Autor. xn0tsa (Sammy Azdoufal), https://github.com/xn0tsa/nobody-puts-baby-in-a-corner. Modyfikacje (pikselizacja): Oskar Klimczuk / CyberDefence24
Droga przez mękę, czyli zgłoszenie
W idealnym świecie dostawca oprogramowania jest niezmiernie wdzięczny za etyczne i dobroduszne zgłoszenie podatności, oferując różne benefity: od braku zaangażowania organów ścigania, przez bon na 240 dolarów do Amazona po tysiące dolarów (w programach Bug Bounty).
Chiński producent miał nieco inne podejście. Najpierw uznał, że produkty są już przestarzałe (pomimo aktywnej sprzedaży na stronach ponad 300 partnerów) oraz zaproponował 15 tys. dolarów za:
- zachowanie poufności do momentu naprawienia błędu;
- USUNIĘCIE WSZYSTKICH informacji o podatnościach Meari Technology w sieci (pisownia oryginalna);
- zaprzestanie łączenia się z serwerami oraz szerzenia negatywnych informacji o firmie.
Badacz nie zgodził się na wymienione warunki oraz podkreślił, że ma prawo zgłoszenia tego incydentu do organów odpowiedzialnych za przestrzeganie RODO.
Chiński producent podwoił stawkę do 30 tys. dolarów, żądając przy tym ograniczenia się do opublikowania artykułu na stronie firmy. Badacz odmówił, informując o opublikowaniu informacji o podatności 11 maja br.
4 kwietnia Meari opublikowało komunikat o podatności, zgodnie z prośbą badacza. Problem w tym, że… ustawiono wsteczną datę opublikowania zawiadomienia (2 marca). Obecnie komunikaty są datowane na 12 marca.
To tylko część perypetii n0tsa. 28 kwietnia, czyli ponad 40 dni od pierwszego zgłoszenia – stronom udało się dojść do porozumienia.
Elementem ustaleń między firmą a badaczem miało być zastosowanie się również do hiszpańskiego prawa (zamiast wyłącznie do chińskiego). Problem w tym, że – według informacji n0tsa – żaden z organów nadzorczych z Francji czy Hiszpanii nie otrzymał stosownego zawiadomienia o naruszeniu ochrony danych osobowych (art. 33 RODO) oraz nie poinformowano osób o naruszeniu (art. 34 RODO).
Bezpieczeństwo IoT
Częstym powiedzeniem wśród bezpieczników jest to, że litera „S” w IoT odpowiada za bezpieczeństwo (security). Powyższy przykład pokazuje, że jest w tym dużo prawdy.
Niedawno opisywaliśmy liczne włamania na polskie kamery przez prorosyjskich haktywistów. Niektóre z kamer były umieszczone w prywatnych domach.
Wśród kluczowych zaleceń jest przede wszystkim nieudostępnianie widoku z kamer z poziomu Internetu w sytuacji, gdy nie jest to konieczne. Jeżeli potrzebujemy takiej funkcjonalności – powinniśmy wykorzystać VPN-a. Pamiętajmy również o zmianie domyślnych danych logowania, segmentacji sieci oraz aktualizowaniu oprogramowania.
Przykład podatności w kamerach jasno pokazuje, że powinniśmy starannie dobierać dostawców sprzętu. Warto sobie też zadać pytanie: czy naprawdę potrzebujemy kamer w sypialniach czy innych intymnych miejscach?
IOC
Według badacza podatność dotyczy wszystkich kamer, które wysyłają zapytania do adresów apis.meari.com(.)cn oraz mqtts*.meari.com(.)cn. Mowa tutaj o urządzeniach od m.in.: CloudEdge, Arenti, BOIFUN, COCOCAM, PetTec, SV3C, Joystek, Luvion czy Vimar.
Dla zainteresowanych wskazujemy konkretne CVE ID: CVE-2026-33356, CVE-2026-33357, CVE-2026-33359, CVE-2026-33361, CVE-2026-33362.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Krajowy system e-Faktur - co musisz wiedzieć o KSEF?
Materiał sponsorowany