Fm Golfo Azul Villa Pehuenia
En muchos hogares con niños pequeños tienen instaladas cámaras de vigilancia o vigilabebés. Permiten controlar a la criatura mientras duerme y, si llora, puedes acudir a ver qué ocurre en un instante. Todo ventajas, menos cuando la cámara en cuestión tiene un fallo de seguridad que da acceso a cualquiera que pueda mirar.
Qué ha pasado. Sammy Azdoufal, experto en seguridad e investigador independiente, descubrió que las cámaras de la marca Meari (incluyendo mirillas electrónicas y vigilabebés) estaban completamente desprotegidas. Simplemente analizando la app de Android, Azdoufal fue capaz de extraer una clave única que le daba acceso a más de un millón de cámaras repartidas en 118 países. Toda su investigación está detallada en su repositorio de GitHub.
Durante años he tenido cámaras de seguridad Yi. Su app se ha vuelto tan insufrible que me he pasado a la competencia
Qué es Meari. Seguramente la marca Meari Technologies no te suene de nada, es normal porque es un fabricante de marca blanca, es decir, que fabrica para otras marcas. Tal y como explican en The Verge, las cámaras de Meari se comercializan en Amazon bajo varias marcas, como Arenti, Anran, Boifun, ieGeek, Wyze, Petcube, COCOCAM, PetTec, SV3C, Joystek, Luvion y Vimar. Haciendo una búsqueda en Amazon España encontramos cámaras de muchas de estas marcas, algunas de ellas con miles de reseñas positivas.
Seguridad inexistente. El problema no estaba en un modelo concreto, sino en toda la arquitectura; muchas de estas marcas compartían servidores y a veces hasta credenciales, por lo que el sistema no tenía ningún tipo de aislamiento: cualquiera de estas marcas podía acceder a las cámaras de otra. Además, el sistema MQTT (un protocolo de mensajería de máquina a máquina que funcionaba en la plataforma de IoT EMQX) no tenía las protecciones adecuadas, lo que permitía ver en tiempo real lo que pasaba en miles de viviendas. También descubrió que muchas cámaras seguían usando contraseñas por defecto como “admin” o “public” y lo que es aún peor, las imágenes de alerta que guardan estas cámaras (por ejemplo cuando detectan un movimiento) estaban almacenadas en en servidores de Alibaba sin ningún tipo de protección, accesibles simplemente a través de una URL.
Y esto no fue todo, también encontró un servidor interno desprotegido en el que encontró contraseñas de Meari y la lista de 678 empleados, incluyendo sus correos y teléfonos. No le hizo falta hackear nada, sólo saber dónde tenía que mirar.
La respuesta. Según Azdoufal, no le tomaron en serio hasta que vieron que los datos de sus propios empleados estaban siendo filtrados, ahí empezaron a responder sus correos y solucionaron el principal fallo, cortando el acceso a sus cámaras. En un comunicado enviado a The Verge, la empresa admite que «Bajo ciertas condiciones técnicas, los atacantes pueden interceptar todos los mensajes transmitidos a través de la plataforma IoT EMQX sin la autorización del usuario». Sin embargo, no respondió preguntas clave como cuántos modelos de cámaras estuvieron afectadas, si las distintas marcas han advertido a los usuarios o si la vulnerabilidad había sido explotada previamente.
Tensiones. Azdoufal recibió un pago de más 24.000 dólares por encontrar los bugs, pero fue después de varias semanas de negociación en las que Meari hizo cosas bastante turbias. Según el investigador, la empresa le envió mensajes con amenazas veladas como que el acceso que había hecho a sus servidores era ilegal, que estaban listos para «proteger sus intereses» y que conocían su dirección. La empresa también intentó simular que ellos conocían los bugs de antes, publicando boletines de seguridad con fechas alteradas.
Qué hacer si tienes una cámara de Meari. Según el investigador, Meari fabrica para más de 300 marcas y en la web oficial no hemos encontrado ninguna lista oficial, por lo que es complicado saber las marcas afectadas. Si sospechas que tu cámara es una de estas, Azdoufal recomienda desenchufarla siempre que no la uses, porque el problema está en la nube y no es algo que puedas arreglar tú. Además, ten en cuenta que algunas imágenes pueden seguir siendo accesibles, y si vives en la UE puedes plantearte una queja ante tu autoridad de protección de datos.
Imagen | Xataka con Gemini
En Xataka | La NASA ha tenido sus sistemas espaciales expuestos a hackers tres años: una IA lo ha descubierto en cuatro días
–
La noticia
Miles de familias usaban estos vigilabebés para sentirse más seguras: el problema es que cualquiera podía mirar
fue publicada originalmente en
Xataka
por
Amparo Babiloni
.
