Los ojos del bebé miran directamente a la lente de la cámara. Un niño con una camisa a rayas levantó la vista y luego desvió la mirada. Un niño disfrazado de policía, con una estrella dorada en el pecho. Un dormitorio desordenado que me recordaba a mi propia hija, con una litera deshecha, gorritos y cintas para la cabeza de niña y Hello Kitty pegada a la pared.
Un pensamiento se repite en mi mente: No debería haber visto esto. Ningún extraño debería hacerlo.
Pero los delincuentes pueden espiar fácilmente todos estos lugares (y millones de otros) porque muchos de los monitores para bebés y cámaras de seguridad Wi-Fi de Meari Technology no son seguros. Si tienes acceso a una de esas cámaras, teóricamente tienes acceso a todas ellas.
Meari es una marca china de marca blanca cuyas cámaras se venden con cientos de nombres diferentes. Muchos vendedores de Amazon suenan genéricos como Arenti, Anran, Boifun e ieGeek. Pero los registros financieros muestran que uno de los mayores clientes de la empresa es Wyze; su mayor cliente es Zhiyun; y muchas cámaras pirateables provienen de Intelbras. Al menos una de las cámaras de vigilancia de mascotas de Petcube parece ser también un producto de Meari. Eso no significa que las cámaras de todas las marcas se vean afectadas, pero millones más se ven afectadas.
Sammy Azdoufal, el hombre de Francia que creó un ejército de robots aspiradores DJI Romo con control remoto sin intentarlo realmente, nos cuenta Borde encontró 1,1 millones de cámaras Meari a las que se podía acceder de forma remota de forma muy parecida. Con solo examinar la aplicación de Android, Azdoufal dijo que pudo extraer una clave única que le dio acceso a dispositivos en 118 países.
Cada uno de esos millones de dispositivos transmite su información a cualquiera que sepa escuchar. O cualquiera que sepa cómo adivinar las contraseñas de una empresa, muchas de las cuales todavía están configuradas de forma predeterminada. Una de las contraseñas es la palabra “admin”. Otra palabra es la palabra “público”.
Cuando Azdoufal conectó el flujo de datos MQTT a un mapa mundial codificado por vibración, dijo que podía ver “todo”. Podía ver el interior de las casas de la gente. Pudo ver la dirección de correo electrónico y la ubicación aproximada.
También pudo ver decenas de miles de fotografías de estas cámaras, almacenadas en los servidores de Alibaba de China en direcciones web públicas sin ninguna protección, incluidas las fotografías que describí al comienzo de esta historia.
“Pude recuperar esas imágenes sin contraseña, sin piratería, sin piratería”, dijo Azdoufal. “Simplemente hago clic en la URL y se muestra esta imagen”.
Azdoufal dijo que incluso encontró uno que estaba desprotegido interno el servidor con las contraseñas y credenciales de Meari es claramente visible, así como una lista de 678 empleados con sus correos electrónicos y números de teléfono. “Hablé con el jefe, tenía su número de teléfono, le envié WeChat”, se ríe Azdoufal.
Dijo que fue entonces cuando Meari finalmente comenzó a responder sus correos electrónicos. Aunque existen reportes de vulnerabilidades en la plataforma CloudEdge de Meari data de hace muchos añosy un Informe de vulnerabilidad de fin de año 2025 Al evaluar el daño que podría causar el diseño MQTT de Meari, dijo que la compañía no lo tomó en serio hasta que sus propios empleados demostraron ser vulnerables.
El 10 de marzo, Meari cortó el acceso a Azdoufal y cerró la escotilla principal. Cuando compré tres cámaras del proveedor Meari con la esperanza de obtener una demostración práctica del truco, ya era (¡afortunadamente!) demasiado tarde para verlo en acción por mí mismo. Pero aunque no hay ningún GIF que muestre cómo me golpea un robot cortacésped, no creo en la palabra de Azdoufal de que el daño potencial es real.
“Bajo determinadas condiciones técnicas, los atacantes pueden interceptar todos los mensajes se envían a través de la plataforma EMQX IoT sin el permiso del usuario”, dijo un portavoz anónimo del “Equipo de seguridad de tecnología de Meari” Bordecuando contactamos por correo electrónico. (La empresa no proporcionó el nombre de un portavoz de acuerdo con nuestra política de antecedentes, pero publicamos la declaración porque es un reconocimiento claro de la vulnerabilidad principal).
La compañía también dijo que había descubierto “Riesgos potenciales Ejecución remota de código (RCE) debido a un problema de contraseña débil en la plataforma de tareas programadas”. (En ambas declaraciones, las que están en negrita son de ellos).
Para solucionar el problema, un portavoz anónimo de Meari dijo que cerró completamente la plataforma EMQX, cambió los nombres de usuario y contraseñas y pidió a sus clientes que actualizaran los dispositivos al firmware más reciente (afirmaron que solo se vieron afectadas las versiones inferiores a 3.0.0).
Pero Meari no nos dijo:
- ¿Cuántas cámaras o marcas son realmente vulnerables?
- ¿La marca ha proporcionado advertencias adecuadas a sus clientes?
- Si se ha abusado de esta vulnerabilidad;
- ¿Qué impide (si es que hay algo) que los empleados de Meari o cualquier proveedor espíen a personas de otras partes del mundo?
Azdoufal dijo que de la forma en que Meari diseñó originalmente su sistema, cualquier marca podía acceder a las cámaras de cualquier otra marca, porque todas compartían el mismo servidor y contraseña.
Al cerrar la plataforma EMQX ha hecho Al bloquear el acceso remoto, enfatizó Azdoufal, no está claro qué sucede ahora con esos millones de cámaras. Meari no nos ha dicho cuántos de esos dispositivos podrán obtener la nueva actualización de firmware, o si los socios de Meari realmente están brindando advertencias a las personas que tienen estas cámaras en sus hogares.
Intentamos comunicarnos con algunos de los compañeros de cámara de Meari para ver si estaban al tanto de este problema. Petcam no respondió. EMQX tampoco.
Intelbras cuenta Bordea través del portavoz externo Kennya Gava, que la compañía solo había trabajado con Meari en tres timbres con video Wi-Fi y que “menos de 50” de las unidades tenían “vulnerabilidades potenciales”. Esta pequeña cifra no concuerda con la historia de Azdoufal. Intelbras parece ser uno de ellos De nuevo marcas populares en su conjunto de datos, con una alta concentración de cámaras en Brasil. Gava no dijo si Meari se había comunicado con respecto a la vulnerabilidad o si Intelbras emitiría una alerta a sus propios clientes.
Wyze inicialmente no respondió a múltiples solicitudes de comentarios, pero el CMO Dave Crosby se acercó después de la publicación y dijo que Meari solo proporciona hardware para algunas de las cámaras exteriores de Wyze, y que Wyze comenzó a trabajar con la compañía el año pasado. “Desarrollamos nuestro propio software y utilizamos nuestra cuenta AWS + Azure con sede en EE. UU. No alojamos nada en su infraestructura como algunas de las otras marcas con las que trabajan”, dijo.
Cuando contactamos al Comité Selecto del Congreso sobre el Partido Comunista Chino sobre Meari, la oficina del congresista Ro Khanna (D-CA) respondió que el informe era preocupante: “Lo consideraré como el miembro de mayor rango del Comité Selecto sobre China”, prometió Khanna.
La buena noticia es que Azdoufal dice que la mayor parte de lo que encontró parece haber sido solucionado y el 7 de mayo recibió una recompensa por el error de 24.000 euros por su ayuda. Pero la experiencia pareció dejarle un mal sabor de boca.
En marzo, después de compartir por primera vez su investigación con Meari, la empresa le envió lo que él interpretó como una amenaza velada. La empresa le dijo que era “plenamente capaz de proteger nuestros intereses”, que sabía dónde vivía y que su descubrimiento de los servidores internos de Meari era “ilegal”.
Tampoco estaba contento de que Meari inicialmente intentara retroceder. su seguridad boletín hasta el 2 de marzo. De esa manera, parecería que Meari descubrió su vulnerabilidad antes de acercarse a ella. Incluso hoy, el boletín tiene fecha del 12 de marzo, casi un mes antes de que Meari lo publicara en abril. También señaló que Meari no había cumplido con sus obligaciones del RGPD de notificar a los ciudadanos de la UE sobre la infracción.
Ojalá pudiera decir que he explicado todo lo interesante que Azdoufal descubrió sobre la práctica de Meari, pero puedes encontrar más información en su historial de seguridad completo. Él también coopera con Tod Beardsley de runZero presentar cinco CVE oficial vulnerabilidad informe esta vez.
Mientras investigaba esta historia, descubrí que una gran cantidad de monitores para bebés en Amazon ahora anuncian “No hay Wi-Fi”. Esto no significa automáticamente que estén a salvo, pero al menos sus transmisiones FHSS o DECT de corto alcance deberían ser difíciles de espiar desde otras partes del mundo.
Actualización, 11 de mayo: Se agregaron comentarios de Wyze.
