Milhões de Câmaras de Vigilância Expostas: Falha Grave na Meari Technology

Milhões de Dispositivos de Vigilância Vulneráveis

Uma falha de segurança alarmante revelou que mais de um milhão de monitores de bebé e câmaras de segurança Wi-Fi, fabricados pela Meari Technology, estavam ridiculamente inseguros e acessíveis a hackers em todo o mundo. O investigador Sammy Azdoufal, de França, desvendou que qualquer pessoa com as ferramentas certas poderia ter espiado milhões de lares, observando bebés a dormir, crianças a brincar e a vida privada de famílias. Esta situação permitiu o acesso a transmissões em direto, fotografias pessoais e, em muitos casos, até informações de localização e endereços de email, sublinhando a fragilidade da cibersegurança em dispositivos de Internet das Coisas (IoT) de consumo.

A Arquitetura Insegura por Trás da Meari Technology

A Meari Technology, um fabricante chinês de câmaras "white-label", é responsável por produzir dispositivos que são depois vendidos sob centenas de marcas diferentes em todo o mundo. Entre as marcas afetadas, que surgem muitas vezes em plataformas de comércio eletrónico como a Amazon, encontram-se nomes como Arenti, Anran, Boifun e ieGeek. No entanto, o problema estende-se a grandes clientes da Meari, incluindo a Wyze, Zhiyun e até a Intelbras, esta última com uma presença significativa no mercado brasileiro. Segundo Azdoufal, bastou inspecionar a aplicação Android associada a estas câmaras para extrair uma única chave que lhe dava acesso a dispositivos em 118 países. Cada um desses mais de um milhão de dispositivos transmitia informações para qualquer pessoa que soubesse como "ouvir" – ou que simplesmente adivinhasse as palavras-passe da empresa, muitas das quais ainda estavam definidas para os valores padrão, como "admin" ou "public".

Ao ligar o fluxo de dados MQTT a um mapa codificado por vibração do mundo, Azdoufal conseguiu ver "tudo": desde o interior das casas das pessoas, aos seus endereços de email e localizações aproximadas. Descobriu também dezenas de milhares de fotografias das câmaras, armazenadas em servidores chineses da Alibaba em endereços web públicos, sem qualquer proteção. Em março, após uma série de tentativas de contacto ignoradas e até uma ameaça velada por parte da Meari, a empresa finalmente cortou o acesso de Azdoufal e fechou o principal buraco de segurança. Para corrigir os problemas, um porta-voz não identificado da equipa de segurança da Meari Technology admitiu ter encerrado a plataforma EMQX na totalidade, alterado nomes de utilizador e palavras-passe, e recomendado aos clientes que atualizassem os seus dispositivos para o firmware mais recente, afirmando que apenas as versões abaixo de 3.0.0 estavam afetadas. Contudo, Azdoufal salienta que a forma como o sistema foi originalmente concebido permitia que qualquer marca acedesse às câmaras de outras marcas, uma vez que partilhavam os mesmos servidores e palavras-passe. Permanece incerto quantos dos dispositivos vendidos podem realmente receber esta atualização de firmware, ou se os parceiros da Meari avisaram os seus clientes sobre os riscos.

Implicações Europeias e Desrespeito pelo GDPR

O incidente da Meari Technology tem profundas implicações para a privacidade dos cidadãos europeus. Sammy Azdoufal, sendo um investigador francês, representa a perspetiva europeia sobre esta questão crítica. A Meari, apesar de ter sido informada sobre a vulnerabilidade e de Azdoufal ter exposto a sua própria infraestrutura interna, não cumpriu as suas obrigações ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD). O RGPD exige que as empresas notifiquem os cidadãos da União Europeia sobre violações de dados pessoais que possam resultar num risco elevado para os seus direitos e liberdades. A falha em notificar os utilizadores europeus cujas casas e dados foram expostos é uma violação clara deste regulamento fundamental de proteção de dados, pondo em risco a confiança nos dispositivos IoT e a segurança online dos consumidores europeus.

O Risco para os Consumidores Portugueses de IoT

Embora não haja informações específicas sobre o número de dispositivos Meari Technology vendidos diretamente em Portugal, a natureza "white-label" e a sua ampla distribuição através de plataformas de e-commerce e retalhistas genéricos significa que estas câmaras são, com elevada probabilidade, utilizadas em muitos lares portugueses. Os consumidores em Portugal que possuam monitores de bebé ou câmaras de segurança Wi-Fi, especialmente de marcas menos conhecidas ou adquiridas a vendedores genéricos online, devem verificar a origem dos seus dispositivos. É crucial alterar sempre as palavras-passe padrão para senhas fortes e únicas, e procurar ativamente por atualizações de firmware, instalando-as assim que disponíveis. Este caso serve como um lembrete vívido da importância de uma ciber-higiene robusta e da necessidade de questionar a segurança dos dispositivos conectados que introduzimos nas nossas casas, protegendo assim a privacidade das famílias portuguesas contra intrusões indesejadas. Embora grande parte do que Azdoufal descobriu pareça estar corrigido, a experiência sublinha os desafios contínuos na segurança de IoT e a responsabilidade das empresas em proteger os dados dos seus utilizadores.