安全漏洞规模:据The Verge于2026年5月11日报道,中国白牌Wi-Fi摄像机制造商Meari Technology的设备存在严重安全漏洞,导致全球118个国家的约110万台婴儿监视器和安防摄像头可被黑客轻易访问。法国安全研究人员Sammy Azdoufal仅通过检查其Android应用程序便提取出单一密钥,从而获得了跨品牌的设备访问权限。
品牌波及范围:这些存在漏洞的设备以数百个不同名称销售,涵盖Arenti、Anran、Boifun和ieGeek等亚马逊卖家。财务记录显示,其大客户包括智云和Wyze,许多易受攻击的摄像头来自Intelbras,且Petcube的至少一款宠物监视器也属Meari产品。由于所有品牌共享相同的服务器和密码,任何一个品牌理论上都能访问其他品牌的摄像头。
隐私泄露细节:漏洞导致用户隐私面临巨大风险。Azdoufal发现,数以万计的摄像头照片在阿里巴巴的公共网络地址上无任何保护地存储,无需密码即可点击查看,内容涉及家庭内部画面、用户邮箱及大致位置。此外,他还发现了一个未受保护的内部服务器,上面明文暴露了Meari的密码凭证及678名员工的联系信息。
漏洞修复与争议:Meari于3月10日切断了Azdoufal的访问并关闭了主要漏洞,其安全团队承认攻击者可能在特定条件下未经授权拦截消息,且弱密码存在远程代码执行风险。然而,Meari拒绝透露受影响的设备数量及是否已遭滥用,且未说明有多少设备能获得固件更新。Azdoufal还指责Meari曾对他发出隐晦威胁,并试图将安全公告的日期提前以掩盖其响应迟缓的事实,同时该公司至今未履行GDPR规定的通知欧盟公民的义务。
后续处理进展:5月7日,Azdoufal因协助修复漏洞获得了2.4万欧元的漏洞赏金,他确认大部分问题已解决。但多家合作品牌的应对态度令人担忧,Wyze和Petcube未予置评,Intelbras发言人则淡化了受影响设备的数量。美国国会议员Ro Khanna表示对此事深感关切,并承诺将作为国会中国问题特别委员会资深成员展开调查。
参考链接:
https://www.theverge.com/tech/926487/meari-technology-hack-baby-monitor-security-camera
热门跟贴