← Volver a noticias

Vulnerabilidad Crítica en Vigilabebés y Cámaras Meari Expone a Más de un Millón de Hogares

seguridadiotciberseguridadvulnerabilidadvigilabebes
Una cámara de seguridad vigilabebés enfocada en una habitación de bebé vacía, con un aura de preocupación y vulnerabilidad.

Miles de familias en todo el mundo utilizaban cámaras de vigilancia y vigilabebés de la marca Meari y sus asociadas para garantizar la seguridad y el bienestar de sus hijos. Sin embargo, un reciente descubrimiento por parte de un experto en seguridad ha puesto de manifiesto una preocupante vulnerabilidad que permitía el acceso no autorizado a estas cámaras.

La investigación, llevada a cabo por el experto en seguridad e investigador independiente Sammy Azdoufal, detallada en su repositorio de GitHub, expuso que las cámaras de la marca Meari, incluyendo mirillas electrónicas y vigilabebés, carecían de protección adecuada. Azdoufal logró extraer una clave única analizando la aplicación de Android, lo que le otorgó acceso a más de un millón de dispositivos distribuidos en 118 países.

El Fenómeno de la Marca Blanca

Es probable que el nombre Meari Technologies no sea familiar para el público general, ya que opera principalmente como un fabricante de marca blanca. Esto significa que produce dispositivos que son luego comercializados bajo diversas marcas. Según informes de The Verge, las cámaras fabricadas por Meari se venden en plataformas como Amazon bajo nombres tan conocidos como Arenti, Anran, Boifun, ieGeek, Wyze, Petcube, COCOCAM, PetTec, SV3C, Joystek, Luvion y Vimar, entre otras. La popularidad de algunas de estas marcas se evidencia por las miles de reseñas positivas que acumulan en tiendas online.

Una Arquitectura de Seguridad Deficiente

El problema de seguridad no se limitaba a un modelo específico, sino que afectaba a la arquitectura completa del sistema. Se descubrió que muchas de estas marcas compartían servidores e incluso credenciales, eliminando cualquier tipo de aislamiento entre ellas. Esta configuración permitía que marcas distintas accedieran a las cámaras de otras sin restricciones.

El protocolo MQTT, utilizado en la plataforma IoT EMQX para la comunicación entre dispositivos, carecía de las protecciones necesarias. Esto facilitaba la visualización en tiempo real de lo que ocurría en miles de hogares. Adicionalmente, se detectó que muchas cámaras empleaban contraseñas por defecto débiles, como “admin” o “public”. Lo que agrava la situación es que las imágenes de alerta, generadas por ejemplo ante la detección de movimiento, se almacenaban en servidores de Alibaba sin cifrado, accesibles mediante una simple URL.

La vulnerabilidad se extendía a un servidor interno desprotegido donde Azdoufal encontró contraseñas internas de Meari y una lista de 678 empleados, incluyendo sus datos de contacto, sin necesidad de realizar acciones de hacking complejas, solo localizando la información.

La Respuesta de Meari Technologies

Según Azdoufal, la empresa no mostró un interés significativo en el problema hasta que los datos de sus propios empleados comenzaron a ser expuestos. Fue en ese momento cuando la compañía intensificó su comunicación y procedió a solucionar la vulnerabilidad principal, bloqueando el acceso no autorizado a sus cámaras. En una declaración a The Verge, Meari admitió que bajo ciertas condiciones técnicas, los atacantes podrían interceptar mensajes transmitidos a través de la plataforma IoT sin autorización del usuario. No obstante, la empresa evadió responder a preguntas cruciales sobre el número exacto de modelos afectados, si las marcas distribuidoras habían notificado a los usuarios, o si la vulnerabilidad había sido explotada previamente.

Tácticas de Intimidación y Negociación

Azdoufal recibió una compensación de más de 24.000 dólares por la detección de las fallas, pero este pago se produjo tras semanas de tensas negociaciones. El investigador relató que la empresa intentó ejercer presión mediante mensajes con amenazas veladas, aludiendo a la ilegalidad de su acceso a los servidores, su disposición a "proteger sus intereses" y conocimiento de su domicilio. Meari también intentó simular que ya conocía las vulnerabilidades publicando boletines de seguridad con fechas alteradas.

Recomendaciones ante la Duda

Dado que Meari fabrica para más de 300 marcas y no existe una lista oficial pública, identificar los dispositivos afectados puede ser complejo. El investigador Sammy Azdoufal recomienda a los usuarios que sospechen tener una cámara de esta procedencia que tomen precauciones. El texto original no detalla acciones específicas más allá de esta recomendación general.

Fuente: Ver artículo original