Уязвимость в камерах Wyze и Intelbras: доступ к видеопотоку в 118 странах

По данным издания The Verge, в глобальной цепочке поставок устройств интернета вещей (ИТ) выявлен масштабный инцидент, затронувший более миллиона камер видеонаблюдения и детских мониторов. Уязвимость затрагивает продукцию китайского бренда Meari Technology, чьи устройства поставляются под сотнями торговых марок, включая Wyze, Zhiyun и Intelbras. Проблема заключается в архитектурной ошибке платформы, позволявшей получить доступ ко всем подключенным устройствам при взломе одного из них.

Исследователь из Франции Сэмми Аздуфаль обнаружил, что система использует единый ключ шифрования и стандартные пароли, такие как «admin» или «public». Это позволяло любому злоумышленнику, зная структуру протокола, перехватывать видеопоток и фотографии с устройств в 118 странах мира. Данные хранились на серверах компании Alibaba без защиты, что делало их доступными по прямым ссылкам в открытом доступе.

Механизм уязвимости и масштаб последствий

Анализ системы показал, что уязвимость кроется в реализации платформы EMQX IoT, используемой для передачи данных. При определенных технических условиях злоумышленники могли перехватывать сообщения без авторизации. Более того, в открытом доступе оказались внутренние серверы с паролями сотрудников и списком из 678 работников с их контактными данными.

Ситуация усугубляется тем, что многие устройства работают с заводскими настройками, которые пользователи не меняют. Это создает ситуацию, когда доступ к камере в чужом доме становится технически простым действием. Исследователь смог визуализировать поток данных на карте мира, демонстрируя, как открыто передаются изображения из спален и детских комнат.

Ключевые аспекты инцидента:

• Доступ к устройствам осуществлялся через единый ключ, извлеченный из мобильного приложения.
• Фотографии и видеозаписи хранились на публичных адресах без шифрования.
• Внутренняя база данных компании содержала личные данные сотрудников в открытом виде.
• Уязвимость позволяла потенциальному злоумышленнику управлять устройствами удаленно.

Компания Meari Technology признала наличие рисков, связанных с возможностью удаленного выполнения кода (RCE) из-за слабых паролей. Представитель отдела безопасности компании подтвердил, что проблема касалась версий прошивки ниже 3.0.0. В ответ на угрозу компания полностью отключила платформу EMQX, сменила учетные данные и потребовала от клиентов обновления программного обеспечения.

Реакция партнеров и регуляторов

Ситуация вызвала реакцию крупных партнеров, чьи продукты базируются на оборудовании Meari. Компания Intelbras заявила, что сотрудничество касалось лишь трех моделей видеодомофонов, и потенциально уязвимыми могут быть менее 50 единиц. При этом в наборе данных исследователя значительная часть камер принадлежала именно этому бренду, особенно в Бразилии.

Представитель Wyze уточнил, что компания использует собственное программное обеспечение и облачные сервисы на базе AWS и Azure в США, не размещая данные на инфраструктуре поставщика. Это позволило изолировать их продукты от уязвимости, несмотря на использование аппаратной части от Meari.

На законодательном уровне инцидент привлек внимание к проблемам безопасности китайских технологий. Офис конгрессмена США Ро Кханна (Ro Khanna) заявил о намерении изучить ситуацию в рамках деятельности Комитета по делам Китайской Народной Республики. Это может сигнализировать о ужесточении требований к сертификации устройств интернета вещей в будущем, что косвенно повлияет на стандарты безопасности для всех импортеров, включая российских.

Экономические риски и новые стандарты безопасности

Инцидент демонстрирует риски, связанные с использованием белых этикеток в производстве электроники. Когда один поставщик компонентов обслуживает множество брендов, ошибка в их программном обеспечении становится системной угрозой для всей цепочки поставок. Для бизнеса это означает необходимость пересмотра требований к безопасности при выборе партнеров и проверке прошивок устройств.

Исследователь Сэмми Аздуфаль получил вознаграждение в размере 24 000 евро за обнаружение уязвимости. Однако процесс взаимодействия с компанией сопровождался попытками давления: Meari Technology сообщала о возможности защиты своих интересов и указывала на незаконность действий исследователя. Также компания пыталась изменить даты публикации отчетов о безопасности, чтобы создать видимость более раннего обнаружения проблемы.

Рынок реагирует на подобные инциденты изменением потребительских предпочтений. Наблюдается рост спроса на устройства, работающие без подключения к глобальной сети Wi-Fi. Такие модели используют технологии короткого радиуса действия (FHSS или DECT), что делает их недоступными для удаленного взлома из другой точки планеты.

Для компаний, работающих в сфере безопасности и ИТ, данный случай служит сигналом о необходимости внедрения более строгих протоколов шифрования и обязательной смены паролей по умолчанию. Отсутствие прозрачности в вопросах обновления прошивок и уведомления пользователей остается критическим фактором риска.

Ситуация требует детального анализа со стороны поставщиков решений и интеграторов, чтобы оценить степень влияния подобных уязвимостей на существующие системы видеонаблюдения и разработать стратегии минимизации рисков в условиях глобальной конкуренции.

Единый ключ к миллионам чужих глаз

Скандал вокруг устройств бренда Meari Technology обнажил фундаментальную проблему современной индустрии интернета вещей (IoT). Журналисты фиксируют факты: миллион камер, единый ключ шифрования, открытые сервера Alibaba. Однако за сухими цифрами скрывается более тревожная реальность: бизнес-модель, построенная на экономии, в данном случае превратилась в системную уязвимость. Когда один поставщик компонентов обслуживает десятки брендов под разными торговыми марками, ошибка в их программном обеспечении перестает быть локальным сбоем. Она становится глобальной дырой в безопасности, через которую утекают данные из 118 стран.

Исследователь Сэмми Аздуфаль нашел не просто баг, а архитектурную ошибку, которая делает защиту бессмысленной. Использование единого ключа шифрования для всех устройств — это как если бы все владельцы домов в мире использовали один и тот же код от сейфа, который висел на дверной ручке. Злоумышленнику не нужно взламывать каждую камеру отдельно. Достаточно получить доступ к одной точке, и открывается дверь ко всей сети. Это классический пример того, как стремление к унификации ради снижения издержек производства приводит к катастрофическим последствиям для конечного пользователя.

Важный нюанс: Проблема не в том, что камеры взломали, а в том, что они были спроектированы так, что взломать их нет потребности — достаточно знать общий пароль, который заложен в саму архитектуру системы.

Цена унификации и иллюзия безопасности

Механизм уязвимости, связанный с платформой EMQX IoT, демонстрирует, как технические решения могут игнорировать базовые принципы безопасности. Хранение видеопотоков и фотографий на серверах Alibaba без шифрования и по прямым ссылкам — это не случайность, а следствие выбора в пользу простоты и дешевизны. В мире, где данные стали новой нефтью, такой подход равносилен хранению золота в незапертой комнате на оживленной улице.

Для бизнеса это сигнал о том, что экономия на этапе разработки прошивки может стоить репутации и многомиллионных штрафов в будущем. Компания Meari Technology попыталась сгладить углы, отключив платформу и попросив обновить ПО, но ущерб уже нанесен. Более того, попытка давления на исследователя и манипуляция датами публикации отчетов говорят о том, что корпоративная культура безопасности в таких компаниях часто стоит ниже коммерческой выгоды.

Ситуация усугубляется тем, что многие пользователи не меняют заводские пароли. Это создает ситуацию, когда безопасность устройства зависит не от его технических характеристик, а от дисциплины владельца. Если производитель не заставляет пользователя сменить пароль при первой настройке, он фактически передает ответственность за безопасность на плечи обычного человека, который часто не обладает необходимыми знаниями.

Стоит учесть: Использование единого ключа шифрования превращает каждое подключенное устройство в потенциальный шлюз для атаки на всю сеть, делая защиту отдельных узлов бессмысленной.

i

Создано специально для ASECTOR

Концептуальное изображение

Глобальные последствия и смена парадигмы

Реакция партнеров показывает, насколько хрупкой может быть цепочка поставок. Wyze, использующая собственные облачные сервисы на базе AWS и Azure, смогла изолировать свои продукты, несмотря на использование «железа» от Meari. Intelbras, напротив, оказалась в более сложной ситуации, хотя и ограничила масштаб проблемы. Этот пример наглядно иллюстрирует, что аппаратная часть и программное обеспечение — это разные миры, и безопасность одного не гарантирует безопасность другого.

Для российского рынка этот инцидент служит важным сигналом. Глобальное ужесточение требований к сертификации устройств IoT, о котором говорят в Конгрессе США, неизбежно повлияет на стандарты безопасности во всем мире. Российские интеграторы и поставщики решений должны пересмотреть подход к выбору оборудования. Ориентация только на цену и функциональность становится рискованной стратегией. Теперь в приоритете — прозрачность архитектуры, возможность локального хранения данных и независимость от единых глобальных ключей.

Рынок уже реагирует на эти изменения. Наблюдается рост спроса на устройства, работающие без подключения к глобальной сети Wi-Fi. Технологии короткого радиуса действия, такие как FHSS или DECT, становятся предпочтительными для задач, где конфиденциальность критична. Это возвращает нас к идее, что иногда самый надежный способ защиты — это отсутствие связи с внешним миром.

В конечном счете, инцидент с Meari Technology — это не просто история о взломе. Это урок о том, как экономическая эффективность может вступать в конфликт с безопасностью. Компании, которые не научатся балансировать между этими двумя факторами, рискуют потерять не только клиентов, но и доверие к своим технологиям в целом. Для бизнеса это означает необходимость внедрения более строгих протоколов шифрования и обязательной смены паролей по умолчанию, а также пересмотра стратегии работы с поставщиками компонентов.