Австрийская ИБ-компания SEC Consult рекомендовала владельцам детских видеомониторов Mi-Cam прекратить ими пользоваться в связи с уязвимостью устройств. Как утверждают специалисты в области информационной безопасности, при помощи нехитрых манипуляций, не требующих особых навыков, можно перехватить видеосигнал с "видеоняни" и увидеть все происходящее в детской.
Как многие другие WiFi-системы видеомониторинга, доступные на рынке, Mi-Cam позволяет пользователям с помощью Android или iOS-приложений подключаться к устройству и в режиме реального времени видеть обстановку в комнате или доме. Однако дружественные хакеры SEC Consult выяснили, что соединение между мобильным приложением, камерой Mi-Cam и связанными с ними облачными серверами не защищено.
В своем блоге специалисты описывают шесть уязвимостей, а один из способов атаки, позволяющий обойти необходимость ввода пароля в Android-приложении для Mi-Cam, демонстрируют в ролике. На записи видно, как с помощью proxy-сервера можно перехватывать и менять HTTP-запрос между смартфоном и устройством.
Также дружественные хакеры обнаружили ряд незащищенных API-интерфейсов, при помощи которых смогли подключиться к облачной сети Mi-Cam и установить связь с "видеоняней".
Разобрав устройство, специалисты SEC Consult добрались и до прошивки Mi-Cam, из которой смогли извлечь root-пароль по умолчанию, открывающий доступ к видеопотоку с камеры. Пароль оказался очень слабым, всего из четырех знаков. Не лучше дела и с функцией сброса пароля, которая также недостаточно защищена от взлома.
Как утверждают в SEC Consult, они пытались сообщить о выявленных уязвимостях производителю устройства miSafes и в Китайский национальный центр интернет-безопасности (CNCERT), однако с декабря 2017 года никакой реакции так и не дождались. По оценкам ИБ-экспертов, на руках у пользователей находятся более 52 тысяч уязвимых "видеонянь" Mi-Cam, и специалисты советуют не пользоваться ими до устранения брешей в защите.
Ситуацией заинтересовалось издание Forbes, журналисты которого выяснили, что помимо производителя miSafes, к Mi-Cam имеет отношение еще одна компания под названием QiWo Smartlink Technology.
Forbes связалось с представителями QiWo и те подтвердили, что отвечают за программные обновления для устройств. Пресс-секретарь Qiwo пообещал, что компания свяжется с SEC Consult, чтобы подробнее узнать об уязвимостях и устранить их.
Между тем, "видеоняни" Mi-Cam по-прежнему доступны в продаже и значатся в списке бестселлеров Amazon, отметили в Forbes.
![vk](https://vk.com/share.php?url=https://nag.ru/news/31772&title=Более 50 тысяч детских видеомониторов Mi-Cam уязвимы для хакерских атак&description=Специалисты ИБ-компании SEC Consult обнаружили, что при помощи нехитрых манипуляций, не требующих особых навыков, можно перехватить видеосигнал с "видеоняни" и увидеть все происходящее в детской.&image=https://nag.ru/uploads/material/images/31772/social_cover.png)
