Onderzoek: miljoen babymonitors en beveiligingscamera's eenvoudig toegankelijk

In dit artikel:

Meer dan 1,1 miljoen slimme camera’s en babymonitors van de Chinese fabrikant Meari (ook verkocht onder de naam CloudEdge en via ruim 300 partnermerken zoals Arenti, Luvion en SV3C) waren via meerdere kwetsbaarheden eenvoudig door onbevoegden te benaderen. Beveiligingsonderzoeker Sammy Azdoufal ontdekte dat accounts via het MQTT-meldingssysteem een platform-brede wildcard gebruikten, waardoor aanmeldingen niet alleen eigen camera’s maar potentieel alle apparaten op de backend konden monitoren.

Daarnaast maakte een hardcoded sleutel in de app het mogelijk om van elk serienummer het bijbehorende IP-adres te achterhalen. Bewegingsgeactiveerde beelden die de camera’s naar Alibaba-clouds uploaden bleken publiek zonder authenticatie toegankelijk, en zogenaamde ‘alert images’ konden met openbare informatie ontsleuteld worden. Het ecosysteem gebruikt bovendien onvervangbare statische sleutels; eenmaal gecompromitteerd blijft die kwetsbaarheid permanent voor alle getroffen toestellen.

Azdoufal rapporteerde de problemen op 2 maart, kreeg een reactie op 11 maart en kreeg na 47 dagen onderhandelen een bugbounty van €24.000. Volgens hem hebben gebruikers geen datalekmelding ontvangen. Meari zegt gebruikers op te roepen de nieuwste firmware te installeren, maar het is onduidelijk of updates voor alle kwetsbare modellen beschikbaar zijn. Gevolgen: grote privacy- en veiligheidsrisico’s (stalking, ongeautoriseerde inzage); gebruikers wordt aangeraden firmware en leverancieradvies te volgen of apparaten tijdelijk offline te halen.