Teknologi
Over én million babykameraer kan kapres: Hardkodede nøkler avslørt i Meari-app
En fransk forsker fant kryptografiske nøkler liggende åpent i Android-appen som styrer over én million babykameraer.
Sammy Azdoufal trakk ut én enkelt nøkkel fra appen til den kinesiske produsenten Meari Technology og kunne deretter se inn i barnerom og hjem i over hundre land. Sårbarhetene ble offentliggjort 11. mai 2026 og rammer omtrent 1,1 millioner enheter fordelt på 118 land.
Forskeren registrerte fem alvorlige feil til sammen. Nøklene er identiske på tvers av samtlige apper og kameraer i økosystemet, og de kan ikke byttes ut uten at hver enkelt enhet får ny fastvare på fysisk nivå.
Levende strøm fra fremmedes barnerom
Den verste sårbarheten ligger i meldingstjenesten som videresender varsler og bilder mellom kamera og app. På fem minutter fanget forskeren opp 14 204 meldinger fra 2 117 kameraer fordelt på 85 land. Hvem som helst med en gratis brukerkonto kunne lytte med på den samme strømmen.
Bevegelsesbilder ble samtidig lagret åpent på Alibabas skyservere, uten innlogging eller utløpstid. «Jeg kan hente bildet uten passord, uten å knekke noe, uten hacking. Jeg trykker bare på lenken, og bildet kommer fram,» forklarte Azdoufal.
Den underliggende meldingsmegleren bygger på EMQX-plattformen og mangler tilgangskontroll på enhetsnivå. Det er kjernen i hvorfor en hvilken som helst innlogget brukerkonto kunne abonnere på samtlige strømmer. Etter en lang dialog utbetalte Meari 24 000 euro i belønning til forskeren.
Selges i Norge under hundrevis av navn
Meari produserer ikke under eget navn. Selskapet leverer maskinvare og skyløsning til mer enn 300 ulike merker, og blant dem finnes Arenti, BOIFUN, COCOCAM, PetTec, SV3C, Luvion og Vimar. Disse merkene selges via Amazon, AliExpress og europeiske nettbutikker som leverer til Norge. Det betyr at en norsk forelder kan ha kjøpt et kamera under et navn som ikke nevner Meari i det hele tatt, og likevel være berørt.
Problemet er strukturelt for hele bransjen. «I disse forretningsmodellene er marginene knivskarpe, og det fører ofte til at sikkerhet behandles som en kostnad i stedet for et produktkrav,» sa Larry Pesce, visedirektør for tjenester i sikkerhetsselskapet Finite State.
Slik sjekker du ditt eget kamera
For å se om kameraet ditt er bygget på Meari-plattformen, åpner du appen som styrer det (ofte heter den CloudEdge), og går inn i serverinnstillingene. Hvis du finner adresser som «apis.meari.com.cn» eller «mqtts*.meari.com.cn», er kameraet en del av økosystemet.
Anbefalingene fra sikkerhetsmiljøet er å oppdatere fastvaren til siste versjon, bytte ut standardpassord (mange enheter leveres fortsatt med «admin» eller «public»), trekke ut strømmen når kameraet ikke er i bruk, og dekke til linsen som midlertidig tiltak. Det vil likevel ikke fjerne hele risikoen, ettersom flere av hullene ligger i Mearis egen skyinfrastruktur og krever at leverandøren selv rydder opp.
Xiaomi 17T og 17T Pro klare 28. mai: Leica-kameraer, 144 Hz-skjerm og opptil 7000 mAh
357 kommuner under lupen: Datatilsynet gransker dine persondata
ZEEKR 7GT inntar Norge: Kinesisk shooting brake fra 399.900 kroner
Malta blir første land i verden: Hele befolkningen får gratis ChatGPT Plus
Hjulene kan falle av: Tesla tilbakekaller Cybertruck på grunn av stålfelger
Kjøreforbud kan bli aktuelt for flere seniorer: Fra denne alderen får de ikke lenger kjøre bil
De fleste bilister aner det ikke: Bakruten skjuler et triks nesten ingen bruker
Hvis PIN-koden din står på denne listen, må du bestille et nytt kort med en gang
Du må venne deg til nye trafikkskilt: Her kan du snart få lov til å kjøre 150 kilometer i timen
