شارك

كابوس الخصوصية: مليون كاميرا مراقبة أطفال متاحة للمخترقين بسبب ثغرة 'Meari'

فريق جلتش١٢ مايو ٢٠٢٦0 مشاهدة4 دقائق
شارك
كابوس الخصوصية: مليون كاميرا مراقبة أطفال متاحة للمخترقين بسبب ثغرة 'Meari'

"كشف تقرير تقني عن ثغرة أمنية في شركة Meari Technology الصينية سمحت للمخترقين بالوصول إلى مليون كاميرا مراقبة أطفال وبث مباشر وصور خاصة دون أي كلمة مرور."

مقدمة تحليلية

في واحدة من أكثر الحوادث الأمنية إثارة للقلق في قطاع الأجهزة المنزلية الذكية، كشف تقرير تقني حديث عن ثغرة أمنية كارثية جعلت أكثر من مليون جهاز لمراقبة الأطفال وكاميرات الأمن المنزلي مكشوفة بالكامل أمام أعين الغرباء والمخترقين. القضية لا تتعلق بمجرد خطأ برمجي بسيط، بل بانهيار كامل في بروتوكولات الحماية لدى شركة Meari Technology، وهي العملاق الصيني 'المجهول' الذي يصنع الكاميرات لمئات العلامات التجارية الشهيرة التي نضعها في غرف نوم أطفالنا. هذا الاختراق يضعنا أمام تساؤل أخلاقي وتقني عميق: هل نضحي بخصوصيتنا مقابل أجهزة رخيصة الثمن وسهلة الاستخدام؟

الأمر بدأ عندما تمكن الباحث الأمني Sammy Azdoufal من الوصول إلى بث مباشر وصور خاصة لمنازل من 118 دولة مختلفة، ليس عبر اختراق معقد، بل من خلال استغلال مفتاح أمني واحد تم استخراجه من تطبيق أندرويد. ما شاهده الباحث كان صادماً؛ صور لأطفال في غرف نومهم، وملابس مبعثرة، وتفاصيل حميمة للحياة اليومية لم تكن تهدف أبداً لأن تخرج عن نطاق جدران المنزل. هذه الحادثة لا تضرب فقط سمعة Meari، بل تزلزل الثقة في منظومة 'العلامات البيضاء' (White-label) التي تعتمد عليها شركات كبرى مثل Wyze وIntelbras وPetcube.

التحليل التقني

تكمن المشكلة الجوهرية في الطريقة التي صممت بها Meari منصة إنترنت الأشياء الخاصة بها، وتحديداً استخدامها لبروتوكول MQTT (Message Queuing Telemetry Transport) عبر منصة EMQX. إليكم التفاصيل التقنية للثغرة:

  • استخراج المفاتيح الموحدة: اكتشف الباحث أن مفتاحاً واحداً مشفراً داخل تطبيق الأندرويد يمنح وصولاً شاملاً إلى تدفقات البيانات لجميع الأجهزة المتصلة بالخادم، بغض النظر عن العلامة التجارية المطبوعة على الكاميرا.
  • كلمات مرور افتراضية ساذجة: كانت العديد من الأنظمة الداخلية والخوادم محمية بكلمات مرور افتراضية مثل 'admin' و'public'، مما سمح بالوصول إلى لوحات تحكم الموظفين وبياناتهم الشخصية.
  • تخزين سحابي غير محمي: تم العثور على عشرات الآلاف من الصور المخزنة على خوادم Alibaba Cloud الصينية في عناوين ويب عامة (Public URLs) لا تتطلب أي نوع من أنواع التحقق من الهوية أو كلمة مرور.
  • ثغرات RCE (Remote Code Execution): اعترفت الشركة بوجود مخاطر لتنفيذ تعليمات برمجية عن بُعد نتيجة لضعف كلمات المرور في منصة المهام المجدولة، مما يعني أن المخترق لم يكن قادراً على المشاهدة فحسب، بل ربما السيطرة الكاملة على الجهاز.

الخطير في الأمر هو أن Meari تعمل كمزود خلفي؛ فإذا كنت تمتلك كاميرا من شركات مثل Arenti أو Anran أو Boifun أو ieGeek، فأنت تقنياً تستخدم بنية Meari التحتية. هذا يعني أن ثغرة واحدة في المصنع الأم أدت إلى سقوط مليون 'دومينو' أمني حول العالم في لحظة واحدة.

السياق وتأثير السوق

تعتمد صناعة الكاميرات الأمنية المنخفضة التكلفة على نموذج 'المصنع الواحد، مائة علامة'. Meari Technology هي اللاعب الأبرز في هذا المجال، حيث توفر الأجهزة والبرمجيات والخوادم السحابية لشركات لا تملك قدرات تطويرية خاصة بها. عندما تشتري كاميرا 'رخيصة' من أمازون، فأنت في الغالب تشتري منتجاً من Meari أعيد تسميته. تاريخياً، واجهت منصة CloudEdge التابعة لميري تحذيرات أمنية منذ سنوات، لكن الاستجابة كانت بطيئة وغير كافية.

السوق الآن يواجه ضغوطاً تنظيمية متزايدة. النائب الأمريكي Ro Khanna أعلن أن لجنة الشؤون الصينية ستحقق في هذه التقارير، مما قد يؤدي إلى فرض حظر أو قيود تجارية على شركات OEM الصينية التي لا تلتزم بمعايير الأمن السيبراني الدولية. كما أن شركات مثل Wyze بدأت في الدفاع عن نفسها بالتأكيد على أنها تستخدم بنيتها التحتية الخاصة (AWS/Azure) لتقليل الاعتماد على خوادم المصنع الصيني، لكن هذا لم يمنع القلق من العيوب التصميمية في 'الهاردوير' نفسه.

رؤية Glitch4Techs

في Glitch4Techs، نرى أن هذه الكارثة هي جرس إنذار نهائي لمستهلكي 'المنزل الذكي'. المشكلة ليست في التكنولوجيا الصينية بحد ذاتها، بل في نموذج الأعمال الذي يعطي الأولوية لسرعة الانتشار وخفض التكاليف على حساب الخصوصية الأساسية. إن استخدام كلمات مرور مثل 'admin' في عام 2026 ليس مجرد إهمال، بل هو 'جريمة تقنية' مكتملة الأركان.

توصياتنا التقنية للمستخدمين:

  • تحقق من الإصدار: إذا كان جهازك يعمل بإصدار ثابت (Firmware) أقل من 3.0.0، فأنت في خطر مباشر ويجب التحديث فوراً أو فصل الجهاز.
  • نموذج 'لا واي فاي': نلاحظ توجهاً متزايداً نحو أجهزة مراقبة الأطفال التي تستخدم تقنيات FHSS أو DECT التي لا تتصل بالإنترنت. بالنسبة لغرفة نوم الطفل، هذا هو الخيار الأكثر أماناً على الإطلاق.
  • تغيير كلمات المرور الافتراضية: لا تعتمد أبداً على الإعدادات المصنعية. أول خطوة بعد إخراج الكاميرا من الصندوق يجب أن تكون تغيير كلمة مرور الجهاز وكلمة مرور حساب السحابة.

في النهاية، يبدو أن مبلغ 24,000 يورو الذي دفعته Meari كـ 'مكافأة ثغرات' للباحث هو ثمن بخس جداً مقابل استعادة سمعتها الملطخة بصور غرف نوم الأطفال المسربة. المستقبل يتطلب شفافية كاملة في سلسلة التوريد؛ يجب أن يعرف المستهلك من هو 'المصنع الحقيقي' للبرمجيات التي تدير أمن منزله.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.