Un ricercatore francese ha individuato cinque vulnerabilità critiche per aziende che producono hardware, firmware, cloud e app mobile per oltre 300 marchi di telecamere vendute su Amazon e altri marketplace.
I dispositivi coinvolti — più di 1,1 milioni di telecamere connesse a internet in 118 paesi — erano accessibili da chiunque aprisse un account gratuito sull’app CloudEdge.
Sammy Azdoufal non è un ricercatore di sicurezza di professione. Ha iniziato l’indagine dopo che una collega gli ha mostrato un baby monitor appena acquistato su Amazon chiedendogli se fosse sicuro. Sei settimane dopo aveva documentato cinque CVE e accesso remoto a oltre un milione di dispositivi.
Baby Monitor e telecamere vulnerabili ad attacchi informatici
La falla principale (CVE-2026-33356) era nel broker MQTT usato per trasmettere gli alert di movimento ai telefoni degli utenti: il sistema non applicava controlli di accesso per singolo dispositivo, il che significava che chiunque si registrasse gratuitamente su CloudEdge poteva sottoscrivere un canale di notifiche a livello di piattaforma e ricevere in tempo reale i messaggi di tutte le altre telecamere connesse.
Baby Monitor e telecamere vulnerabili ad attacchi informatici-webnews.it
I marchi che usano la stessa infrastruttura Meari includono Arenti, Boifun, COCOCAM, PetTec, SV3C, Joystek, Luvion e Vimar. Il punto critico per chi possiede questi dispositivi è che le scatole non indicano da quale piattaforma cloud dipendono. Il nome Meari non compare nella confezione.
Una seconda vulnerabilità (CVE-2026-33359) esponeva le immagini generate dagli alert di movimento su server Alibaba Object Storage senza autenticazione, URL firmati o controlli di scadenza. Azdoufal descrive l’accesso in modo diretto: nessuna password, nessun attacco, solo un URL che restituisce l’immagine. Una terza falla (CVE-2026-33362) riguardava chiavi crittografiche hardcoded condivise tra tutte le applicazioni e i dispositivi dell’ecosistema — chiavi statiche che non possono essere ruotate senza aggiornare il firmware di ogni singolo dispositivo già distribuito.
L’aspetto più perturbante non è la falla tecnica in sé, ma ciò che contenevano le immagini accessibili: camere nelle camere dei bambini, neonati che fissavano il baby monitor, momenti di vita domestica. Azdoufal ha anche trovato un server di configurazione Apollo completamente privo di autenticazione che esponeva 614 chiavi di produzione — tra cui credenziali MySQL, MongoDB, Redis, chiavi OAuth Facebook e un token aziendale che copriva 678 dipendenti Meari incluso il CEO.
Meari ha inizialmente ignorato le segnalazioni per settimane, rispondendo solo dopo che il caso aveva cominciato a circolare pubblicamente. La risposta del portavoce ha ammesso che “in specifiche condizioni tecniche, gli attaccanti potrebbero intercettare tutti i messaggi trasmessi via piattaforma IoT EMQX senza autorizzazione”. L’azienda ha poi pagato ad Azdoufal un bug bounty da 24.000 euro, ma secondo il ricercatore ha anche tentato di intimidirlo, facendogli sapere che sapevano dove abitasse e che aveva commesso un reato.
La maggior parte delle vulnerabilità è stata corretta dopo la divulgazione pubblica dell’11 maggio 2026. Rimane aperta la questione di quanti dispositivi già distribuiti possano effettivamente ricevere gli aggiornamenti firmware necessari. Un’analisi indipendente condotta da Rapid7 su nove modelli di baby monitor tra i più venduti ha assegnato a otto di essi una valutazione di sicurezza “F”. I modelli più costosi non erano necessariamente i più sicuri: spesso avevano semplicemente più funzionalità — e quindi più superfici di attacco.
