Una collega di lavoro aveva comprato un baby monitor su Amazon e gli aveva chiesto se fosse sicuro. Sei settimane dopo, la risposta del ricercatore francese Sammy Azdoufal era una sequenza di cinque CVE e l’accesso documentato a 1,1 milioni di telecamere connesse in 118 paesi. La piattaforma sotto accusa è quella della cinese Meari Technology, fornitore di hardware, firmware e infrastruttura cloud per oltre 300 marchi venduti su Amazon e su altri canali.

La falla più grave (CVE-2026-33356) riguarda il broker MQTT della piattaforma: non applicava controlli di accesso per singolo dispositivo, quindi un qualsiasi account gratuito dell’app CloudEdge poteva sottoscriversi alle notifiche di telecamere altrui e riceverne i dati in tempo reale. Azdoufal racconta di aver osservato migliaia di messaggi provenienti da oltre 2.000 dispositivi in pochi minuti, partendo da un solo broker regionale.

// affiliato ▸ Proton Drive · I tuoi file, protetti sul serio con sconti fino all'80% · Provalo gratis →

Immagini di camerette e neonati pubblicamente accessibili

Un’altra vulnerabilità (CVE-2026-33359) esponeva le immagini generate dai sensori di movimento, salvate sui server Alibaba senza autenticazione, senza URL firmati, senza scadenza. I link erano contenuti negli stessi messaggi MQTT accessibili a chiunque e portavano a fotografie di camerette, lettini, neonati che fissavano l’obiettivo. Come ha spiegato Azdoufal a The Verge, “recupero l’immagine senza password, senza forzature, senza hacking. Clicco sull’URL e l’immagine compare”.

A peggiorare il quadro, l’ecosistema usava chiavi crittografiche scritte direttamente nel codice e condivise fra tutti i dispositivi: chiavi OpenAPI statiche, segreti HMAC, chiavi DES, credenziali peer-to-peer. Sostituirle richiederebbe in molti casi di riflashare l’hardware, operazione difficilmente fattibile su milioni di dispositivi consumer già nelle case.

Trecento marchi, una sola infrastruttura

Il nodo della vicenda è proprio l’architettura del mercato. Meari opera in regime white-label: produce le telecamere, gestisce app e cloud, e poi rivende il tutto a centinaia di marchi che cambiano solo la scatola e il logo. Tra i nomi confermati direttamente dal ricercatore ci sono CloudEdge, Wyze, Intelbras, Arenti e Petcube, ma il totale dei brand coinvolti supera i 300.

In Italia il marchio Meari come tale non lo conosce nessuno, ma ieGeek, molto diffuso su Amazon nella fascia economica delle telecamere di sorveglianza, usa come app companion proprio CloudEdge: la stessa piattaforma citata nelle CVE. Chi ha in casa una ieGeek o un’Arenti rientra quindi a pieno titolo fra i dispositivi potenzialmente esposti.

Meari ha pagato ad Azdoufal un bug bounty da 24.000 euro e ha chiuso le falle principali sui propri server. Restano dubbi seri sulla possibilità che gli aggiornamenti firmware arrivino davvero a tutti i dispositivi già venduti, e il portavoce dell’azienda, sentito da The Verge, non ha precisato quali modelli siano stati raggiunti dalle correzioni né se i clienti siano stati avvertiti.

Cosa fare se si possiede una di queste telecamere

La prima verifica riguarda l’app companion: se è CloudEdge o un suo clone con altro logo, il dispositivo gira sull’infrastruttura Meari. Vale la pena controllare se è disponibile un aggiornamento firmware, cambiare la password dell’account e valutare seriamente se quel tipo di dispositivo abbia ancora senso in camera da letto o vicino a un neonato.

Più in generale, segregare gli oggetti IoT su una rete Wi-Fi separata da computer e smartphone resta una buona pratica, così come monitorare a quali server si collegano.

La vicenda è l’ennesimo capitolo di un problema strutturale: il mercato dei dispositivi connessi a basso costo è in larga parte costruito su pochi produttori che vendono lo stesso prodotto sotto decine di nomi, con margini risicati e budget per la sicurezza ridotti al minimo.