Çin mənşəli "Meari Technology" şirkətinin istehsal etdiyi 1,1 milyon uşaq monitoru və təhlükəsizlik kamerası qlobal miqyasda ciddi kibertəhlükəsizlik riski ilə üzləşib. Fransız tədqiqatçı Sammy Azdoufal tərəfindən aşkar edilən bu kritik boşluq, 118 ölkədəki cihazlara kənardan müdaxilə etməyə imkan yaradıb. Hakerlər bu kameralar vasitəsilə insanların evlərini izləyə, onların şəxsi həyatına asanlıqla nüfuz edə bilərdilər.
"Meari" əsasən digər şirkətlər üçün cihazlar istehsal edən "white-label" brendidir. Bu səbəbdən həmin kameralar bazarda yüzlərlə fərqli ad altında satılır. Maliyyə hesabatlarına görə, şirkətin ən böyük müştəriləri arasında "Wyze" və "Zhiyun" yer alır. Həmçinin, "Intelbras" və "Petcube" kimi tanınmış markaların, eləcə də "Amazon" platformasında satılan "Arenti", "Anran", "Boifun" və "ieGeek" kimi cihazların da bu təhlükəyə məruz qaldığı məlum olub.
Sistem necə sındırılıb?
Sammy Azdoufal bildirir ki, o, sadəcə Android tətbiqini analiz edərək bütün cihazlara giriş imkanı verən tək bir açar əldə edib. Milyonlarla cihaz öz məlumatlarını qorunmadan yayımlayırdı və bir çox kameranın şifrəsi hələ də standart olaraq "admin" və ya "public" kimi təyin edilmişdi. Tədqiqatçı həmçinin, istifadəçilərin on minlərlə şəxsi fotoşəkilinin Çinin "Alibaba" serverlərində heç bir şifrələmə olmadan açıq şəkildə saxlanıldığını aşkar edib.
"Mən heç bir şifrə qırmadan, sadəcə URL linkinə klikləyərək bu şəkilləri əldə edə bilirdim,"- deyə o qeyd edib.
Tədqiqatçı daha da irəli gedərək, şirkətin 678 işçisinin e-poçt və telefon nömrələrinin olduğu daxili serveri də tapıb. O, birbaşa rəhbərlə əlaqə saxladıqdan sonra "Meari" problemi ciddiyə almağa başlayıb. Martın 10-da şirkət "EMQX" platformasını tamamilə bağlayaraq əsas boşluğu aradan qaldırıb. Şirkət nümayəndəsi zəif şifrələr səbəbindən sistemdə uzaqdan kod icrası (RCE) riskinin olduğunu etiraf edib və istifadəçiləri proqram təminatını yeniləməyə çağırıb.
Şirkətin reaksiyası və təhdidlər
Problemin həllinə kömək etdiyi üçün mayın 7-də Sammy Azdoufal-a 24 min avro məbləğində mükafat ödənilib. Lakin bu proses heç də rəvan keçməyib. Mart ayında tədqiqatçı problemi ilk dəfə şirkətə bildirəndə, "Meari" onun ünvanını bildiyini və daxili serverlərə girişin qanunsuz olduğunu vurğulayaraq gizli təhdidlər edib. Bundan əlavə, şirkət təhlükəsizlik bülletenlərinin tarixini martın 2-nə çəkərək, boşluğu özlərinin daha əvvəl tapdığı təəssüratını yaratmağa çalışıb.
Hazırda neçə kameranın yeniləndiyi və tərəfdaş şirkətlərin öz müştərilərini xəbərdar edib-etmədiyi qeyri-müəyyən olaraq qalır. Məsələn, "Intelbras" nümayəndəsi yalnız 50-dən az cihazda potensial boşluq olduğunu iddia etsə də, bu rəqəm tədqiqatçının məlumatları ilə üst-üstə düşmür. Məsələ artıq ABŞ Konqresinin də diqqətini çəkib. Konqresmen Ro Khanna bu hesabatların narahatlıq doğurduğunu və məsələni dərindən araşdıracağını vurğulayıb.
