Een flink beveiligingslek bij een internationale maker van camera’s roept de vraag op hoe veilig babyfoons eigenlijk zijn. Lees verder om welke merken het gaat en hoe je zelf makkelijk de veiligheid verhoogt.
Lees verder na de advertentie.
Meari: onbekend merk, maar veel groter dan je denkt
Meari is een Chinees white label-merk dat camera’s maakt. Hun producten worden verkocht door andere bedrijven. Meari levert dus alleen de kant-en-klare hardware aan fabrikanten. Veel van die merken worden ook op Bol en Amazon verkocht, bijvoorbeeld onder namen als Arenti, Anran, Boifun, ieGeek en Qyze.
De Franse software-eigenaar en beveiligingsonderzoeker Sammy Azdoufal heeft onlangs aan techplatform The Verge verteld dat hij zonder moeite toegang kon krijgen tot meer dan een miljoen op afstand toegankelijke Maeri-camera’s. Dat deed hij door de app van Meari te inspecteren. Daarin achterhaalde hij Ă©Ă©n enkel wachtwoord voor babyfoons en andere smart home-apparaten met camera’s in 118 landen.
Zo keek Azdoufal mee in miljoenen slaapkamers
Elk van die apparaten zond informatie uit naar iedereen die wist hoe die mee moest luisteren. Dat was overigens een koud kunstje, want veel apparaten stonden nog ingesteld op een standaardwachtwoord als ‘admin’ of ‘public’. Dat klinkt lachwekkend als het niet om de veiligheid en privacy van baby’s en jongere kinderen ging.
Een slimme babyfoon met camera praat meestal niet rechtstreeks met jouw telefoon. In plaats daarvan sturen zowel de babyfoon als de bijbehorende app de berichten naar een centrale server via een licht communicatiesysteem dat MQTT heet. Toen Azdoufal de MQTT-datastroom koppelde aan een wereldkaart die met trillingen was gecodeerd, kon hij naar eigen zeggen ‘alles’ zien.
Zo kon hij in de huizen van miljoenen mensen meekijken. Ook had hij toegang tot e-mailadressen en geschatte locaties. Verder kon hij zonder moeite tienduizenden foto’s van deze camera’s vinden. Die waren opgeslagen op Chinese Alibaba-servers op openbare webadressen zonder enige vorm van beveiliging. Er is dus eigenlijk niet eens sprake van een klassieke hack omdat er nauwelijks iets gekraakt hoefde te worden.
Zie Android Planet vaker in Google
Blijf eenvoudig op de hoogte van het laatste Android-nieuws, reviews, tips.
Reactie van Meari na vondst data medewerkers
Nadat Azdoufal op een onbeveiligde Meari-server wachtwoorden en inloggegevens vond (inclusief een lijst van alle 678 medewerkers met e-mailadres en telefoonnummer) ging het balletje pas echt rollen en kreeg hij contact met het bedrijf. Meari beloofde het lek te dichten door onder andere gebruikersnamen en wachtwoorden te wijzigen. Ook werden klanten geadviseerd om apparaten te upgraden naar de nieuwste firmware.
Wat Meari dan weer niet met The Verge wilde delen, was hoeveel camera’s of merken daadwerkelijk kwetsbaar waren, of die merken hun klanten voldoende hebben gewaarschuwd Ă©n of de gevonden kwetsbaarheden in het verleden zijn misbruikt door medewerkers van Maeri. Azdoufal zegt dat Meari haar systeem oorspronkelijk zo had ontworpen dat elk merk toegang kon krijgen tot de camera’s van elk ander merk, omdat ze allemaal dezelfde servers en wachtwoorden deelden. Bizar.
Dat zou dus nu niet meer mogelijk moeten zijn. Toch zijn er nog veel onduidelijkheden. Niet alle merken hebben hun klanten inmiddels actief geĂŻnformeerd over de gevonden kwetsbaarheden. Verder krijgen niet alle apparaten meer updates, waardoor niet bekend is hoeveel oude apparaten nog steeds veiligheidsrisico’s lopen. Gelukkig delen we aan het einde van dit artikel nog vijf praktische tips om mee aan de slag te gaan.
Beloning met nare bijsmaak voor Azdoufal
Azdoufal heeft bevestigd dat hij op 7 mei een bedrag van 24.000 euro heeft ontvangen van Meari voor het ontdekken van de beveiligingslekken. Toch heeft de hele ervaring hem een vervelende bijsmaak gegeven. In maart, nadat hij zijn onderzoek voor het eerst met Meari had gedeeld, stuurde het bedrijf hem een bericht wat hij interpreteerde als een verkapt dreigement.
Hierin deelde Maeri mee dat het “volledig in staat was om z’n belangen te beschermen”, dat het bedrijf wist waar hij woonde en dat zijn ontdekking op Meari’s interne servers onwettig was. Azdoufdal is ook zeker niet blij dat Meari aanvankelijk probeerde te doen lijken dat zij op 2 maart al de kwetsbaarheden hadden ontdekt en klanten daarover had gewaarschuwd. Oftewel: voordat Azdoufal hun daarop gewezen had.
5 tips voor een veiligere babyfoon met camera
Bij een babykamer is het zaak om extra voorzichtig te zijn met smart home-producten als (goedkope) cloudcamera’s van generieke merken op Amazon of Bol. Het probleem bij dit soort ecosystemen is dat de beveiliging vaak versnipperd is: de fabrikant, appbouwer en verkoper wijzen vaak naar elkaar bij eventuele veiligheidsproblemen.
Zoals gezegd worden veel babyfoons met camera slecht beveiligd geleverd. Bijvoorbeeld door gebruik te maken van standaardwachtwoorden die gemakkelijk te raden zijn. Met een paar praktische stappen kun je het risico op hackers en meekijkers echter sterk verkleinen:
- Verander direct het standaardwachtwoord en gebruik een uniek, lang wachtwoord;
- Zet tweestapsverificatie aan als de fabrikant dit ondersteunt. Hierdoor is een wachtwoord alleen niet genoeg om in te loggen, wat de kans op hacken verkleint;
- Werk de firmware en een eventuele app regelmatig bij: controleer geregeld op updates voor de babyfoon zelf, de app en je wifi-router;
- Koop een merk met een goede beveiligingsreputatie. Goedkoop is meestal duurkoop;
- Gebruik een apart wifi-netwerk voor slimme apparaten. Veel routers ondersteunen een gastnetwerk. Zet de babyfoon daarop, zodat een gehackt apparaat minder makkelijk toegang heeft tot al je andere apparaten.
Bonustip: let op verdachte signalen. Bijvoorbeeld een apparaat dat gereset wordt, de camera van de babyfoon die ineens beweegt, onbekende meldingen of loginpogingen, vreemde stemmen of geluiden en lampjes die onverwacht aangaan. In al die gevallen moet je direct je wachtwoord wijzigen en kijken of je updates kunt installeren.
