Meer dan een miljoen babymonitors, beveiligingscamera's en deurbelcamera's van fabrikant Meari, die onder allerlei andere merknamen worden aangeboden, waren eenvoudig voor onbevoegden toegankelijk. Ook bleek dat tienduizenden foto's die de camera's maakten, onbeveiligd op servers van Alibaba werden opgeslagen. Dat stelt beveiligingsonderzoeker Sammy Azdoufal, die de problemen aan de fabrikant rapporteerde.

Meari is een Chinese fabrikant van allerlei soorten camera's. Het biedt de producten aan onder de eigen naam CloudEdge, maar verkoopt die ook als whitelabelproduct aan andere leveranciers. Meer dan driehonderd partnermerken maken gebruik van dezelfde technologie, zoals Arenti, Boifun, Cococam, PetTec, SV3C, Joystek, Luvion en Vimar. Azdoufal ontdekte meerdere problemen met vergaande gevolgen voor gebruikers.

De camera's sturen bewegingsmeldingen door middel van het MQTT (Message Queueing Telemetry Transport)-protocol naar de bijbehorende camera-app. Zo kunnen gebruikers op afstand in real-time meekijken. Het probleem was dat aangemaakte CloudEdge-accounts niet alleen toegang hadden tot hun eigen camera, maar vanwege het gebruik van een 'platform-wide wildcard' tot alle camera's die via de achterliggende backend communiceerden, aldus de onderzoeker.

Het tweede probleem betrof de mogelijkheid om van elke gebruiker op basis van serienummer het ip-adres te achterhalen. Dit was mogelijk door de aanwezigheid van een hardcoded key in de camera-app. De camera's van Meari beschikken over bewegingssensoren. Zodra de camera een beweging registreert wordt er een foto gemaakt. Deze foto's worden naar de cloudopslagdienst van Alibaba geupload. Daar bleken ze voor iedereen zonder authenticatie toegankelijk.

Het vierde probleem betreft de 'alert images' die de babymonitors uploaden. Die bleken op basis van publieke informatie te ontsleutelen. Als laatste ontdekte de onderzoeker dat het gehele Meari-ecosysteem van statische keys gebruikmaakt. "Deze keys zijn niet te vervangen, behalve door elk apparaat opnieuw te flashen. Elke compromittering is permanent, in het gehele ecosysteem", aldus Azdoufal. De problemen raken volgens de onderzoeker meer dan 1,1 miljoen camera's.

Azdoufal zegt dat hij Meari op 2 maart informeerde en op 11 maart een reactie ontving. Vervolgens vonden er over een periode van 47 dagen onderhandelingen plaats, waarbij er uiteindelijk een bugbounty van 24.000 euro aan de onderzoeker werd uitgekeerd. Hij merkt op dat gebruikers van de betreffende camera's geen datalekmelding hebben ontvangen. Meari zegt tegenover The Verge dat het gebruikers heeft opgeroepen om de nieuwste firmware te installeren. Of voor alle kwetsbare apparaten een update beschikbaar is, is niet bekend.