Программист из Франции в начале марта обнаружил, что китайский поставщик, производящий оборудование для множества моделей IP-камер и детских видеонянь, продаваемых на Amazon, Fnac, Cdiscount и под брендом мобильных операторов, имел прямой доступ к изображениям сотен тысяч устройств через открытую инфраструктуру. Спустя два месяца он опубликовал свои выводы, которые рисуют тревожную картину и предполагают масштабное использование предупреждений, генерируемых камерами.
Какое лучшее «Троянское яблоко», чем устройство, предназначенное для безопасности? Французский разработчик Sammy Azdoufal, специализирующийся на ИИ, в начале марта обнаружил, что сотни моделей IP-камер, детских видеонянь и других устройств для домашнего наблюдения имели критические уязвимости, раскрывающие записанные изображения и, следовательно, частную жизнь пользователей.
В основе проблемы — китайская компания Meari, которая продает свои продукты или услуги в основном по модели «белый лейбл» (white label) третьим сторонам. Эти компании затем распространяют конечные продукты под своими брендами, в частности, через крупные торговые площадки, такие как Amazon, Fnac, Darty или Cdiscount, а также у операторов связи или компаний, занимающихся видеонаблюдением, как бразильская Intelbras.
В общей сложности, разработчик утверждает, что смог установить прямую связь между Meari и 378 различными моделями камер, распространяемых как минимум в 15 странах. Более того, он сообщил, что за один 24-часовой период он насчитал более 1,1 миллиона уязвимых устройств, которые подключались к серверам Meari. «Если бы я оставил свой скрипт работать неделю, объем устройств, вероятно, был бы значительно больше», — отмечает он.
Спустя два месяца после первоначального обнаружения, китайский поставщик должен был обезопасить свою серверную часть, но многие проблемы остаются. «Скажем так, если бы у меня был ребенок, я бы не стал покупать камеру, оборудованную Meari», — резюмирует Sammy Azdoufal.
Предыдущий случай с DJI
Если имя разработчика вам знакомо, это может быть связано с тем, что это не первое его открытие. В середине февраля он привлек внимание мировой прессы, случайно обнаружив серьезную уязвимость в тысячах роботов-пылесосов DJI, когда пытался настроить свой для удаленного управления с помощью контроллера PS5.
Через эту «черную дыру» он получил возможность управлять любым роботом-пылесосом и, следовательно, получать доступ к передаваемым им изображениям, используя только его серийный номер. Открытие, подробно описанное The Verge, привело к пугающему выводу: управление возможно, потому что роботы марки обмениваются данными в открытом виде с MQTT-серверами DJI, доступ к которым должным образом не защищен.
6 марта DJI подтвердила проблему безопасности, объявив об исправлении уязвимости в своей инфраструктуре и упомянув, без указания имен, вклад двух независимых исследователей. Sammy Azdoufal сообщил, что получил обещание о выплате 30 000 долларов в рамках программы «bug bounty» компании.
Слишком «разговорчивое» приложение для Android
Его работа над Meari также началась со случайного обнаружения 2 марта, еще до разрешения ситуации с DJI. «Я разговаривал с коллегой об этой истории с пылесосом, и она рассказала, что купила детскую видеоняню на Amazon, и ей интересно, безопасно ли ее использовать для дочери», — рассказывает Sammy Azdoufal, с которым связались в начале марта. Устройство относится к категории самых дешевых на платформе.
У него нет собственного программного обеспечения, но оно использует Cloudedge — приложение-«хаб» для подключенных устройств. Изучая код приложения, разработчик обнаружил «многое, что не так», включая открытые пути к MQTT-брокерам: «Я попытался подключиться, чтобы посмотреть, и это сработало».
Прежде чем углубляться, стоит уточнить терминологию. В мире Интернета вещей (IoT) MQTT — это протокол обмена сообщениями, лежащий в основе взаимодействия между центральным сервером (MQTT-брокером) и двумя участниками, роли которых могут меняться: отправителем (например, IP-камера) и получателем (мобильное приложение, используемое владельцем). Когда ваша IP-камера обнаруживает движение, она отправляет оповещение MQTT-брокеру, который затем перенаправляет его в мобильное приложение, установленное на вашем телефоне.
В случае приложения CloudEdge, в начале марта мы смогли проверить утверждения Sammy Azdoufal на основе Android-клиента, распространяемого через Google Play, и, в частности, наличие в открытом виде в коде URL-адреса, указывающего на административную консоль серверной части Meari.
Разработчик продолжил свое расследование. «После нескольких тестов я понял, что они оставили пароль по умолчанию». Пройдя через эту «дыру», «я обнаружил, что нет проверки владения устройством, поэтому, подписавшись на брокер, я могу видеть всех».
Иными словами, подключившись к серверу, он смог наблюдать за его активностью и, например, запустить скрипт, с помощью которого он насчитал более миллиона подключенных и, следовательно, уязвимых устройств. Он также сообщил, что получил доступ к CMS (инструменту управления веб-сайтом) Meari, используемому, в частности, клиентами компании для управления своими собственными парками устройств или собственными приложениями по модели «белый лейбл».