Jak se to vůbec mohlo stát: Vážné narušení soukromí obrovského rozsahu
Za vším hledejme čínskou technologii Meari Technology. Ta je totiž vybavena nedostatečným šifrováním, které ve spojení s triviálními hesly vytváří smrtící koktejl. Ke škodě věci ji využívá mnoho modelů dětských chůviček a monitorovacích kamer. Zneužitím existující chyby v zabezpečení měli útočníci de facto z celého světa přístup k živým záběrům a soukromým fotografiím.
Známý bezpečnostní výzkumník Sammy Azdoufal odhalil, že se to týká přibližně 1,1 milionu zařízení ve 118 zemích.
A to není zdaleka vše. Expertovi na bezpečnost se bez větší námahy podařilo dostat ke cloudové databázi, která obsahovala ty nejintimnější záběry z rodinných prostředí. Šlo o snímky z dětských pokojů, které šlo kvůli špatně zabezpečeným chůvičkám snadno prohlížet.
Zdroj: Sammy Azdoufal
Závažné bezpečnostní nedostatky u dětských chůviček
Studie popisuje pět závažných nedostatků, které dokazují, jak vysokému riziku výrobce uživatele vystavil a jak nezodpovědně nakládal s uživatelskými údaji:
-
1
CVE-2026-33356 (Sledování dat): Každý uživatel s bezplatným účtem si mohl předplatit stavové zprávy a oznámení o událostech v reálném čase, a to z 1,1 milionu zařízení po celém světě.
-
2
CVE-2026-33357 (Riziko stalkingu): Na základě sériového čísla bylo možné zjistit veřejnou IP adresu každého zařízení a tím i jeho přibližnou polohu.
-
3
CVE-2026-33359 (Nešifrované obrázky): Snímky z pohybových alarmů jsou uloženy na cloudových serverech bez jakékoli ochrany. Jakmile dojde k jejich úniku, je zle a už není možné zamezit jejich šíření.
-
4
CVE-2026-33361 (Šifrování s nedostatečným zabezpečením): „Šifrování“ obrazu z chůvičky lze snadno odvodit ze sériového čísla – pro hackery je to hračka.
-
5
CVE-2026-33362 (Vestavěná hesla): Kryptografické klíče jsou pevně zakódovány v softwaru a nelze je změnit bez fyzického přeprogramování zařízení.
Mohlo by vás zajímat
Jak zjistíte, zda se chyba týká i vaší chůvičky
Riziko je těžké odhalit, protože společnost Meari je dodavatelem mnoha výrobcům. Její technologie se nachází ve více než 300 značkách, mezi nimiž jsou Arenti, BOIFUN, COCOCAM, PetTec, SV3C, Joystek, Luvion a Vimar.
A jak si své zařízení zkontrolujete? Spusťte aplikaci kamery (většinou CloudEdge) a v nastavení sítě se podívejte, s jakým názvem hostitele zařízení komunikuje. Pokud je to „apis.meari.com.cn“ nebo „mqtts*.meari.com.cn“, je zle a vaše zařízení je postiženo.
Mohlo by vás zajímat
Co dělat, když se to týká vaší dětské chůvičky?
Velký problém spočívá v tom, že se mnoho zranitelností týká přímo cloudové platformy. Pouhá aktualizace firmwaru, která se v podobných případech doporučuje jako první opravné opatření, často nepomůže. Odborníci radí následující postup:
-
1
Aktualizace: Prověřte, zda je pro vaše zařízení k dispozici firmware alespoň ve verzi 3.0.0 nebo vyšší.
-
2
Změna hesla: Nahraďte všechna výchozí hesla (například „admin“ nebo „public“) vlastními, dostatečně silnými hesly.
-
3
Odpojení zařízení: Pokud dětskou chůvičku či dohledovou kameru nepoužíváte, odpojte je ze zásuvky nebo alespoň nasměrujte objektiv ke zdi.
-
4
Zvolte technologii bez internetu: Z hlediska bezpečnosti v dětském pokoji jsou výrazně bezpečnější volbou chůvičky, které vysílají pomocí technologií FHSS nebo DECT a nepotřebují Wi-Fi; fungují tedy bez připojení k internetu.
Společnost Meari dosud nesplnila své povinnosti, vyplývající z nařízení GDPR. Není tedy přesně známo, kolik ani jaká zařízení jsou těmito problémy postižena.
Vzhledem k tomu, že záznamy z událostí by mohly i nadále zůstávat v cloudu a nelze je smazat, je důvěra v tato zařízení trvale narušena.
Zdroj: Meari Technology, The Verge
