Hơn một triệu camera giám sát em bé dễ dàng bị hacker xâm nhập

Đôi mắt của một em bé nhìn thẳng vào ống kính camera. Một đứa trẻ mặc áo sọc ngẩng lên rồi lại quay đi. Một cậu bé đóng vai cảnh sát với ngôi sao vàng trên ngực. Một căn phòng ngủ lộn xộn với giường tầng chưa gấp chăn, mũ và bờm của bé gái, và Hello Kitty dán trên tường.

Meari baby monitor

Một ý nghĩ lặp lại trong đầu tôi: Tôi không nên đang nhìn thấy những hình ảnh này. Không người lạ nào nên nhìn thấy chúng. Nhưng những kẻ xấu có thể đã dễ dàng do thám tất cả những địa điểm này — và hơn một triệu địa điểm khác — bởi vì nhiều camera giám sát em bé và camera an ninh Wi-Fi của Meari Technology có mức bảo mật thấp một cách kỳ quặc. Nếu bạn có quyền truy cập vào một trong những camera này, về lý thuyết bạn có thể truy cập vào tất cả chúng.

Meari là một thương hiệu nhãn trắng (white-label) của Trung Quốc có các camera được bán dưới hàng trăm cái tên khác nhau. Nhiều trong số đó là người bán trên Amazon với cái tên nghe khá chung chung như Arenti, Anran, Boifun và ieGeek. Tuy nhiên, hồ sơ tài chính cho thấy một trong những khách hàng lớn nhất của công ty là Wyze; khách hàng lớn nhất của họ là Zhiyun; và nhiều camera có thể bị hack thuộc về Intelbras. Ít nhất một camera giám sát thú cưng của Petcube dường như cũng là sản phẩm của Meari.

Các loại camera Meari

Sammy Azdoufal — người đàn ông từ Pháp đã tạo ra một đội máy hút bụi robot DJI Romo được điều khiển từ xa mà không hề cố ý — cho biết The Verge rằng ông đã tìm thấy 1,1 triệu camera Meari có thể truy cập từ xa gần như theo cách tương tự. Chỉ bằng cách kiểm tra ứng dụng Android, Azdoufal nói rằng ông có thể trích xuất một khóa duy nhất cho phép ông truy cập vào các thiết bị tại 118 quốc gia.

Mỗi một trong số những triệu thiết bị này đều đang phát sóng thông tin của nó cho bất kỳ ai biết cách nghe lén. Hoặc bất kỳ ai biết cách đoán mật khẩu của công ty, nhiều trong số đó vẫn được đặt thành mặc định. Một trong những mật khẩu đó là từ "admin". Một cái khác là từ "public".

Khi Azdoufal kết nối dòng dữ liệu MQTT với bản đồ thế giới, ông nói rằng ông có thể thấy "mọi thứ". Ông có thể nhìn vào trong nhà của mọi người. Ông có thể thấy địa chỉ email và vị trí sơ bộ của họ.

Ông cũng có thể thấy hàng chục nghìn bức ảnh từ các camera này, được lưu trữ trên máy chủ Alibaba của Trung Quốc tại các địa chỉ web công khai mà không có bất kỳ sự bảo vệ nào, bao gồm cả những bức ảnh mà tôi mô tả ở đầu câu chuyện này.

"Tôi có thể lấy lại bức ảnh mà không cần bất kỳ mật khẩu nào, không cần bẻ khóa, không cần hack," Azdoufal nói. "Tôi chỉ cần nhấp vào URL và hình ảnh hiện ra."

Azdoufal cho biết ông thậm chí còn tìm thấy một máy chủ nội bộ không được bảo vệ với mật khẩu và thông tin đăng nhập của Meari bị lộ trần, cũng như danh sách tất cả 678 nhân viên cùng email và số điện thoại của họ.

Vào ngày 10 tháng 3, Meari đã cắt quyền truy cập của Azdoufal — và bịt kín lỗ hổng chính. Vào thời điểm tôi mua ba camera của các nhà cung cấp Meari với hy vọng được xem bản demo trực tiếp về cuộc tấn công này, tôi (may mắn là) đã quá muộn để thấy nó hoạt động.

"Trong các điều kiện kỹ thuật cụ thể, kẻ tấn công có thể chặn tất cả thông tin được truyền qua nền tảng IoT EMQX mà không cần sự ủy quyền của người dùng," một phát ngôn viên vô danh từ "Đội ngũ An ninh Công nghệ Meari" thừa nhận với The Verge.

Công ty cũng cho biết họ đã phát hiện ra "Nguy cơ thực thi mã từ xa (RCE) tiềm ẩn do các vấn đề mật khẩu yếu trên nền tảng tác vụ theo lịch trình."

Để khắc phục các vấn đề, phát ngôn viên không tên của Meari cho biết công ty đã tắt hoàn toàn nền tảng EMQX, thay đổi tên người dùng và mật khẩu, và yêu cầu khách hàng nâng cấp thiết bị lên firmware mới nhất (họ tuyên bố chỉ các phiên bản dưới 3.0.0 bị ảnh hưởng).

Tuy nhiên, Meari sẽ không cho chúng tôi biết: có bao nhiêu camera hoặc thương hiệu thực sự bị tổn thương; liệu những thương hiệu đó có đã cảnh báo khách hàng của họ đầy đủ hay không; liệu các lỗ hổng này đã bị lạm dụng chưa; và điều gì — nếu có — ngăn cản nhân viên của Meari hoặc bất kỳ nhà cung cấp nào của họ theo dõi mọi người từ phía bên kia của thế giới.

Tin tốt là Azdoufal nói rằng hầu hết những gì ông phát hiện dường như đã được khắc phục, và vào ngày 7 tháng 5, ông đã nhận được phần thưởng tìm lỗi (bug bounty) 24.000 Euro vì sự giúp đỡ của mình. Nhưng trải nghiệm này dường như đã để lại một vị trí khó chịu trong lòng ông.

Vào tháng 3, sau khi ông lần đầu tiên chia sẻ nghiên cứu của mình với Meari, công ty đã gửi cho ông những gì ông diễn giải là một lời đe dọa ngầm. Công ty nói với ông rằng họ "hoàn toàn có khả năng bảo vệ lợi ích của mình," rằng công ty biết ông đang sống ở đâu, và việc ông phát hiện ra các máy chủ nội bộ của Meari là "bất hợp pháp".

Ông cũng không hài lòng khi Meari ban đầu cố ý làm giả ngày các bản tin bảo mật để lùi lại vào ngày 2 tháng 3. Theo cách đó, nó sẽ trông giống như Meari đã phát hiện ra các lỗ hổng trước khi ông liên hệ.

Điều đáng lo ngại là cách Meari thiết kế hệ thống ban đầu cho phép bất kỳ thương hiệu nào cũng có thể truy cập vào camera của bất kỳ thương hiệu nào khác, vì chúng đều chia sẻ cùng một máy chủ và mật khẩu.

Trong khi nghiên cứu câu chuyện này, tôi phát hiện ra rằng một số lớn máy gọi em bé trên Amazon hiện nay quảng cáo là "Không dùng Wi-Fi". Điều đó không tự động có nghĩa là chúng an toàn — nhưng ít nhất truyền phát tầm ngắn FHSS hoặc DECT của chúng sẽ khó bị theo dõi từ phía bên kia quả đất.