Уютный трикотаж: интернет магазин белорусского трикотажа

Детские блоггеры видео: 5 блогеров-детей на YouTube с многомиллионными просмотрами

Детские блоггеры видео: 5 блогеров-детей на YouTube с многомиллионными просмотрами

Содержание

5 блогеров-детей на YouTube с многомиллионными просмотрами

Видеохостинг YouTube давно стал площадкой, с помощью которой люди зарабатывают известность и средства к существованию. Многие из ныне популярных блогеров начинали свою деятельность еще в подростковом возрасте, однако с течением времени возрастная планка создателей видео значительно снизилась. Сейчас можно говорить о существовании детского YouTube, на котором популярен контент, созданный детьми для детей.

Разумеется, съемкой видеороликов дети занимаются не сами, да и инициатива заведения блога малышам, чаще всего, не принадлежит. Тем не менее юные блогеры-миллионники подходят к процессу создания контента с большим интересом, что подкупает их аудиторию. Тематика видео на детских каналах разнообразна: на платформе можно найти как познавательные ролики, так и забавные видео о детских шалостях, челленджи, обзоры игрушек и даже влоги из путешествий. На каждую разновидность находятся свои зрители, и их количество зачастую сильно превосходит число зрителей взрослого контента.

Супер Полина (23,6 млн. подписчиков)

Полине Роговцевой всего 8 лет, но она уже ведет два многомиллионных канала. На основном канале «Супер Полина» (14,4 млн. подписчиков) выходят развлекательные и познавательные видео, которые понятны русскоязычным детям. Второй канал девочки – «Super Polina Play» (9,21 млн. подписчиков) посвящен игрушкам и ведется на английском языке. Всего же за деятельностью блогерши следят более 23 миллионов малышей по всему миру, а суммарное количество просмотров Супер Полины только на одном канале превышает 4 миллиарда.

Известно, что аккаунт на YouTube был создан по инициативе самой юной звезды интернета ради забавы, но шутка вышла из-под контроля – сейчас девочка хорошо зарабатывает на своих роликах. Как сообщает «Москва 24», за месяц Полина зарабатывает до 300 тысяч долларов, что покрывает затраты на производство контента и обучение школьницы.

Скриншот: YouTube / Супер Полина

Мистер Макс и Мисс Кэти (46,1 млн. подписчиков)

Канал «Miss Katy» является одним из старейших на детском YouTube. 17 ноября 9-летняя Катя Федорук из Одессы отметила восьмой день рождения своего канала. По этому случаю был выпущен ролик, в котором брат девочки Максим, ведущий канал «Mister Max», а также отец ребят поздравляют ютубершу с этой датой.

Всего семья ведет 7 каналов: основные каналы Максима и Кати с суммарной аудиторией более 46 млн. подписчиков, каналы детей с летсплеями компьютерных игр, игровой канал отца семейства, канал с влогами, а также образовательный профиль с мультфильмами и детскими песенками. Несмотря на то, что доход с YouTube давно позволил семье переехать в собственный особняк в Лондоне, Катя и Максим до сих пор выпускают русскоязычный контент, что выгодно отличает ребят от других успешных блогеров-детей.

Скриншот: YouTube / Miss Katy

Kids Diana Show (103 млн. подписчиков)

По теме

1842

Россия занимается расширением пункта пропуска «Верхний Ларс» на границе с Грузией

В МИД РФ сообщили, что Россия расширяет пункт пропуска на границе с Грузией. В свою очередь, с грузинской стороны ведётся модернизация автодорожной инфраструктуры.

8-летняя Диана является одним из самых популярных ютуберов планеты. Сниматься девочка начала практически с пеленок – канал Kids Diana Show был создан в 2015 году. Вместе с Дианой в съемках участвуют ее братья Рома и Оливер. На троих у ребят создано 13 каналов с суммарной аудиторией более 240 миллионов подписчиков.

Наиболее популярным роликом на основном канале Дианы является клип на песню «Like It», набравший

2 миллиарда просмотров. Однако, как отмечено в описании канала, присоединяться к числу подписчиков девочки заставляет контент, благодаря которому дети могут изучать новые слова, получать знания об окружающем мире, формировать представления о дружбе и общественных нормах.

Скриншот: YouTube / Diana Kids Show

На данный момент на канале можно найти множество красочных видеороликов на английском языке с внушительными декорациями, однако изначально видео были русскоязычными и не такими впечатляющими. На заре карьеры Диана вместе с мамой обозревала игрушки, заработав на таких роликах свою первую аудиторию.

Like Nastya (более 291 млн. подписчиков)

Уроженка Краснодара Анастасия Радзинская в своем юном возрасте уже несколько раз входила в рейтинг самых высокооплачиваемых ютуберов по версии Forbes. Съемкой контента девочка занимается вместе с родителями: отец Насти является героем большинства видео. Помимо этого, в роликах часто появляются друзья маленькой блогерши.

Основу канала «Like Nastya» составляют сюжетные скетчи и челленджи, однако иногда девочка снимается во влогах и познавательных роликах для детей. Так, несколько месяцев назад на канале появилось видео о летних правилах безопасности для детей, которое набрало более 11 миллионов просмотров. Счетчик воспроизведений видео о нормах поведения детей, вышедшего год назад, уже перевалил за 193 миллиона.

Скриншот: YouTube / Like Nastya

Серьезный подход родителей девочки к ведению YouTube привел к невероятным результатам. По данным журнала Forbes, на начало 2022 года Настин годовой заработок составлял 28 миллионов долларов, что обеспечило девочке 6 место в рейтинге ютуберов по версии издания, а ее семье комфортное проживание в Майами. Кстати, доход с канала позволил семье Радзинских переехать в США еще в 2018 году. Смена места жительства повлияла на развитие канала: уже несколько лет все видео Насти выходят на английском языке, что привлекает новых зрителей.

Влад и Никита (более 278 млн. подписчиков)

Завершают нашу подборку Владислав и Никита Вашкетовы – дети, чья суммарная аудитория превышает количество подписчиков самого популярного YouTube-канала в мире «T-Series» (229 млн подписчиков). Видео с участием братьев стали появляться на просторах платформы в 2018 году и быстро набрали популярность среди детской аудитории. Родители ребят Сергей и Виктория плотно занялись продвижением канала – сейчас они вместе занимаются съемками видеороликов, продумывая сценарии и даже появляясь в кадре.

Об успешности карьеры Влада и Никиты говорят не только счетчики подписок и просмотров на их каналах, но и наличие рекламы в видео, а также долгосрочных контрактов с различными компаниями. Посмотреть видео мальчиков могут носители 18 языков – переводы оригинальных англоязычных роликов появляются на 21 канале, которые ведет семья Вашкетовых.

Скриншот: YouTube / Vlad and Niki

За русскоязычным каналом «Влад и Никита» следит 12 миллионов подписчиков, что является значительной цифрой для детского YouTube. В то же время, основной канал «Vlad and Niki» (89,7 млн. подписчиков) занимает 8-е место по количеству просмотров в мире и 10-е по числу подписок, а также приносит братьям и их родителям огромный доход. Как сообщает «LADbible», в начале 2020 года один видеоролик обеспечивал появление на счету семьи около 312 тысяч долларов.

Чем же привлекает аудиторию канал ребят? Яркими видео с обзорами игрушек, челленджами и роликами, в которых мальчики готовят еду под руководством мамы.

‎App Store: YouTube Детям

Описание

Специальное детское приложение для просмотра видео
Сервис «YouTube Детям» был создан специально так, чтобы детям было проще находить и смотреть увлекательные ролики, а родителям – управлять тем, как используется приложение.

Безопасный контент
Мы внимательно следим за тем, чтобы в коллекцию «YouTube Детям» попадали только ролики, которые подходят для семейного просмотра. Чтобы скрыть нежелательные материалы, мы используем автоматические алгоритмы, проверяем контент вручную, а также учитываем мнение самих пользователей. Тем не менее поскольку у нас нет возможности заранее смотреть все видео, в приложении могут попадаться недопустимые ролики.

Родительский контроль
Устанавливайте ограничения по времени. Не хотите, чтобы ваш ребенок пользовался приложением слишком долго? Просто установите таймер. Когда время истечет, приложение будет автоматически закрыто.

Следите за тем, какие ролики смотрит ваш ребенок. Список просмотренных видео есть на странице «Посмотреть ещё раз».
Блокируйте неподходящий контент. Считаете ролик неприемлемым? Просто заблокируйте его или весь канал, и такой контент будет скрыт.
Сообщайте о недопустимых видео. Вы можете пожаловаться на неприемлемый контент, и мы проверим его.

Отдельные профили для детей
Всего можно создать восемь профилей – каждый с отдельной подборкой контента и со своими настройками. В них доступно четыре режима: «Только одобренный контент», «Для самых маленьких», «Для дошкольников» и «Для детей постарше».

В режиме «Только одобренный контент» ребенку недоступен поиск по приложению. Видео, каналы и плейлисты, которые он может смотреть, выбираете вы. В подборку «Для самых маленьких» мы добавили ролики, которые помогают в игровой форме развивать творческие способности юных зрителей и поощрять их тягу к знаниям и открытиям. Дошкольникам мы предлагаем мультфильмы, детские песни и видеоуроки о том, как сделать что-то своими руками.

Дети постарше могут смотреть музыкальные клипы и видео об играх, а также пользоваться поиском.

Контент на любой вкус
В нашем новом приложении собраны самые интересные ролики для юных зрителей: сериалы, песни, учебные видео и многое другое.

Важная информация
Родительские настройки нужны, чтобы контролировать, что смотрит ребенок и сколько времени он проводит в приложении.
Кроме того, зрителям могут встречаться ролики коммерческого характера, созданные не рекламодателями, а самими авторами. Когда ребенок смотрит видео в своем аккаунте, мы собираем и используем сведения в соответствии с Примечанием о конфиденциальности данных в аккаунтах Google. Если же вход не выполнен, то действует Примечание о конфиденциальности в приложении «YouTube Детям».

Версия 8.06

Исправлены ошибки и повышена стабильность работы.

Оценки и отзывы

Оценок: 163,6 тыс.

Класс но…

Спасибо большое за такой ютуб мне нравится но… тут есть The last of us на гитаре иии я люблю ещё и Метел гир добавьте пожалуйста песню ,,Его позывной змея’’ заранее спасибо.

Игра

Игра для маленьких детей но норм для других

Хорошее приложение

Мне нравится в этом приложении таймер выключения. Но выбрав отбор видео для самых маленьких ребёнок постоянно натыкается на просмотр разных видео, которые не для самых маленьких. Там где вредные дети балуются или страшилки всякие показывают. И эти видео не удалишь с просмотра, а ребёнок естественно хочет смотреть именно эти ужасные ролики. Нужно усовершенствовать контент для просмотра малышам.

Разработчик Google LLC указал, что в соответствии с политикой конфиденциальности приложения данные могут обрабатываться так, как описано ниже. Подробные сведения доступны в политике конфиденциальности разработчика.

Связанные с пользова­телем данные

Может вестись сбор следующих данных, которые связаны с личностью пользователя:

  • Геопозиция
  • Контактные данные
  • Пользова­тель­ский контент
  • История поиска
  • Идентифика­торы
  • Данные об использова­нии
  • Диагностика

Не связанные с пользова­телем данные

Может вестись сбор следующих данных, которые не связаны с личностью пользователя:

  • Пользова­тель­ский контент
  • Другие данные

Конфиденциальные данные могут использоваться по-разному в зависимости от вашего возраста, задействованных функций или других факторов. Подробнее

Информация

Провайдер
Google LLC

Размер
176,6 МБ

Категория
Развлечения

Языки

русский, азербайджанский, албанский, амхарский, английский, арабский, армянский, африкаанс, баскский, белорусский, бенгальский, бирманский, болгарский, боснийский, венгерский, вьетнамский, галисийский, голландский, греческий, грузинский, гуджарати, датский, зулу, иврит, индонезийский, исландский, испанский, итальянский, казахский, камбоджийский, каннада, каталанский, киргизский, корейский, лаосский, латышский, литовский, македонский, малайский, малаялам, маратхи, монгольский, немецкий, непальская, норвежский (букмол), панджаби, персидский, польский, португальский, румынский, сербский, сингальский, словацкий, словенский, суахили, тайский, тамильский, телугу, традиционный китайский, турецкий, узбекский, украинский, упрощенный китайский, урду, филиппинский, финский, французский, хинди, хорватский, чешский, шведский, эстонский, японский

Возраст
4+, для детей 0–5 лет

Copyright
© Google LLC 2015

Цена
Бесплатно

  • Сайт разработчика
  • Поддержка приложения
  • Политика конфиденциальности

Другие приложения этого разработчика

Вам может понравиться

10 невероятных каналов YouTube для родителей-новичков

Когда вы только что стали родителем, вам может показаться, что любой незначительный выбор, который вы сделаете, может плохо сказаться на вашем ребенке. И вы не одиноки в таких чувствах. Большинство молодых мам нервничают из-за того, что сделали неправильный выбор для своих малышей. Поэтому, если вы нервная мама, у вас может быть много вопросов, которые вы хотите задать, но не знаете, куда обратиться. К счастью для вас, мы создали список лучших каналов для родителей на YouTube. Так что учитесь на некоторых из лучших каналов в Интернете. Вот десять невероятных каналов на YouTube, которые должны посетить все родители, впервые у которых родился ребенок.

10 Взгляд мамы

The Mom’s View станет вашим любимым каналом на YouTube, если вы новая мама. На этом канале представлены вдохновляющие видео от «Мамы для мам». Некоторые из популярных материалов включают блюда, подходящие для детей, простые поделки и полезные советы для родителей.

СВЯЗАННЫЙ: Детская звезда YouTube Блиппи «сожалеет» о вирусном видео, которое он снял в 2013 году

С более чем 116 500 000 просмотров у этих мам есть много верных подписчиков, которые узнали все о том, как тяжело может быть беременность и воспитание детей. Так что начните смотреть «Взгляд мамы» на YouTube и узнайте главные секреты и хитрости, которые помогут вам легче воспитывать детей.

9 Умное воспитание

Smart Parenting, который начинался как журнал, теперь стал популярным каналом YouTube, помогающим родителям сосредоточиться на воспитании счастливых и здоровых детей. С новым контентом каждую неделю, который вы можете смотреть, вы можете потратить часы, просто просматривая видео о воспитании вашего малыша. Умное воспитание детей — это не только забавные поделки и идеи еды, у них есть много обучающих видео для мам, например, как безопасно носить детскую одежду, как начать говорить с кем-то о послеродовом периоде и как справиться с чувством вины мамы. Почувствуйте, что у вас все под контролем, и смотрите Smart Parenting!

8 Высокоэнергетическое воспитание детей

High Energy Parenting — это канал, который планирует помочь родителям жить жизнью, полной энергии, страсти, здоровья и любви. С акцентом на здоровый образ жизни, есть много видео о еде и упражнениях, а также много отличных видео с советами для родителей.

СВЯЗАННЫЙ: Эксперты предлагают родителям следить за тем, как ребенок использует YouTube после Момо

Посмотрите видео о том, как освободиться от переживаний, которые вас беспокоят, как уговорить детей делать то, что вам нужно, не испытывая при этом нервного срыва, как укрепить силу воли, чтобы прожить день, и многое другое. Если вы чувствуете, что устали и истощены после рождения ребенка, то «Высокоэнергетическое воспитание» даст вам совет, который вам нужен, чтобы начать чувствовать себя самим собой.

7 Воспитание

Nurture — это YouTube-канал о современном воспитании детей. Этот канал, который публикует несколько раз в неделю контент об историях родов, документальные фильмы о родителях и их малышах и, конечно же, советы для родителей. Некоторые из их популярных видеороликов с советами включают советы по грудному вскармливанию, советы по приучению к горшку и тому, как справляться с плачем вашего ребенка. Канал Nurture с более чем 121 900 000 просмотров нравится каждому родителю, чтобы послушать советы по теме, которую они в настоящее время обсуждают со своими детьми. Так что узнайте все необходимые советы и рекомендации, посмотрев «Nurture» на YouTube.

6 WhatsUpMoms

WhatsUpMom выпускает новые видео для мам с понедельника по пятницу. Так что, если вы чувствуете, что вам нужен дополнительный импульс, чтобы повысить уверенность в себе, этот канал для вас. Этот канал наполнен веселыми зарисовками и пародиями, которые заставят вас смеяться до слез, потому что кто-то наконец поймет, через что вы проходите.

СВЯЗАННЫЙ: Мама предупреждает родителей о видео на YouTube, показывающем детям, как навредить себе

Но обратите внимание на образовательные видеоролики для мам о планировании бюджета, когда у вас есть дети, о советах по стилю для мам и о лучших детских принадлежностях, которые вам понадобятся! И с более чем миллиардом просмотров вы знаете, что WhatsUpMoms что-то придумал!

5 Сделай это за копейки

Do It On A Dime – это YouTube-канал мамы Кэтрин, чья миссия — вести красивый, организованный образ жизни при скромном бюджете. С двумя детьми и ограниченным бюджетом вы узнаете, как эта мама делает все это! Кэтрин выпускает видеоролики об организации образа жизни, рутинной уборке для вас и вашей семьи, а также о перевозках Dollar Tree — все это пытается заставить вас жить лучшей жизнью при ограниченном бюджете. Кэтрин хочет помочь другим мамам жить так, как они хотят, будучи организованной в вашем доме, в вашей семье и в вашем бюджете. Чтобы увидеть, как настоящая мама справляется со всем этим, перейдите на канал Do It On A Dime на YouTube.

4 Рука об руку Воспитание

Hand and Hand Parenting уже 25 лет поддерживает связь между родителями и детьми, и теперь у них есть канал на YouTube, чтобы помочь родителям. С еженедельными видео для мам, чтобы узнать, как общаться со своими детьми, вы можете найти видео обо всем!

СВЯЗАННО: родители находят популярный детский контент на YouTube для детей со скрытыми сообщениями

С содержанием о том, как помочь родителям и детям справиться с тревогой разлуки, что делать, если ваш малыш кусается, помочь ребенку преодолеть его страхи и обо всем, с чем может столкнуться ваш малыш, Hand in Hand Parenting охватывает все это. Поэтому обратитесь к надежному источнику и посмотрите «Работа об руку с родителями», чтобы получить советы, которые помогут вам с малышом.

3 Наркоман-родитель

Авиталь — мама, стоящая за The Parenting Junkie на YouTube. Parenting Junkie фокусируется на мирном воспитании детей, то есть на стиле воспитания, представляя собой внимательный, уважительный, простой и мягкий подход к воспитанию детей в современном мире. Этот канал идеально подходит для любой мамы, которая хочет воспитывать своих детей без наказаний, диаграмм с наклейками или кучи игрушек повсюду, и поможет вам и вашим детям сосредоточиться на воспоминаниях и переживаниях, которые у них есть. Благодаря видеороликам о том, как научить детей быть благодарными, как преодолеть тревогу родителей, как избежать распространенных ошибок в воспитании детей и другим полезным советам, The Parenting Junkie — это место, где можно научиться осознанному воспитанию детей.

2 Детская больница Сент-Луиса

Когда вы думаете об отличном канале для родителей на YouTube, канал больницы — это не тот аккаунт, к которому вы могли бы обратиться за советом по воспитанию. Но детская больница Сент-Луиса — это феноменальный ресурс для начинающих родителей.

СВЯЗАННЫЙ: YouTube расправляется с видеороликами против вакцинации

На этом канале вы можете посмотреть потрясающие видеоролики о том, как научить своих детей правилам безопасности в бассейне, о том, как побудить своих детей быть активными, и даже о том, как правильно установить детское автокресло. ваших детей на любом этапе их жизни. Так что переходите на канал с обученными профессионалами и врачами, которые дадут вам блестящие советы о детской больнице Сент-Луиса.

1 Родительский канал

Если вы стремитесь быть творческой мамой для своих малышей, то канал для родителей на YouTube станет вашим любимым аккаунтом, на который стоит подписаться. Родительский канал создан телеведущей и двенадцатикратной обладательницей премии «Эмми» Видой Урбонас. На этом канале есть множество отличных творческих видеороликов, таких как детские поделки, забавная здоровая еда, уроки по прическам для вашего малыша и советы по воспитанию детей в раннем возрасте. Вы будете в отличной компании с The Parenting Channel, потому что у него более 41,900 000 просмотров всех их видео!

ДАЛЕЕ: 10 семейных фильмов, которые можно посмотреть с дошкольником

Раскрытие #IoTsec: 10 новых уязвимостей для нескольких видеонянь

Последнее обновление: пятница, 10 мая 2019 г., 17:14:57 по Гринвичу

Обычно такие уведомления о раскрытии содержат одну, а то и две уязвимости в одном продукте. Не так для этого; у нас есть десять новых уязвимостей, которые нужно раскрыть сегодня.

Если вы были на DEF CON 23, возможно, вы застали семинар Марка Станислава «Рука, качающая колыбель: Взлом радионяни IoT». Вы, возможно, также заметили некоторую редакцию слайдов, так как в ходе этого исследования Марк обнаружил ряд новых уязвимостей в нескольких видеонянях.

Поставщики были уведомлены, CERT/CC связались, и все CVE были назначены в соответствии с обычной политикой раскрытия информации, которая подводит нас к части публичного раскрытия информации здесь.

Для получения дополнительной информации и подробностей об исследовании IoT, которое мы провели здесь, в Rapid7, мы собрали коллекцию ресурсов по этому исследованию безопасности IoT. Там вы можете найти технический документ, охватывающий многие другие аспекты безопасности IoT, некоторые часто задаваемые вопросы, связанные с исследованием, а также ссылку для регистрации на онлайн-семинар, который состоится на следующей неделе с Марком Станиславом и Тодом Бердсли.

Сводка

CVE-2015-2886 Удаленный Р7-2015-11.1 Предсказуемая утечка информации iBaby M6
CVE-2015-2887 Локальная сеть, устройство Р7-2015-11. 2 Учетные данные бэкдора iBaby M3S
CVE-2015-2882 Локальная сеть, устройство Р7-2015-12.1 Учетные данные бэкдора Philips In.Sight B120/37
CVE-2015-2883 Удаленный Р7-2015-12.2 Отражающий, сохраненный XSS Philips In.Sight B120/37
CVE-2015-2884 Удаленный Р7-2015-12. 3 Прямой просмотр Philips In.Sight B120/37
CVE-2015-2888 Удаленный Р7-2015-13.1 Обход аутентификации Summer Baby Zoom Wifi Монитор и система просмотра Интернета
CVE-2015-2889 Удаленный Р7-2015-13.2 Повышение привилегий Summer Baby Zoom Wifi Монитор и система просмотра Интернета
CVE-2015-2885 Локальная сеть, устройство Р7-2015-14 Учетные данные бэкдора Объектив Peek-a-View
CVE-2015-2881 Локальная сеть Р7-2015-15 Учетные данные бэкдора Гинойи
CVE-2015-2880 Устройство Р7-2015-16 Учетные данные бэкдора TRENDnet Wi-Fi Baby Cam TV-IP743SIC

Сведения о раскрытии информации

Поставщик: iBaby Labs, Inc.

О проблемах с устройствами iBaby было сообщено CERT в примечании об уязвимости VU#745448.

Устройство: iBaby M6

Сайт производителя оцениваемого устройства: https://ibabylabs.com/ibaby-monitor-m6.

Веб-сайт ibabycloud.com имеет уязвимость, благодаря которой любой пользователь, прошедший проверку подлинности в службе ibbycloud.com, может просматривать сведения о камере для любого другого пользователя, включая сведения о видеозаписи, из-за уязвимости прямой ссылки на объект.

Параметр идентификатора объекта состоит из восьми шестнадцатеричных символов, соответствующих серийному номеру устройства. Это небольшое пространство идентификаторов объектов позволяет провести тривиальную атаку перечислением, когда злоумышленники могут быстро подобрать идентификаторы объектов всех камер.

Как только злоумышленник сможет просмотреть данные учетной записи, неработающие ссылки предоставляют имя файла, предназначенное для показа доступных «предупреждающих» видео, записанных камерой. Используя универсальную конечную точку AWS CloudFront, найденную с помощью сниффинга функций приложения iOS, к этому URL-адресу можно добавить имя собранного файла и получить доступ к данным из учетной записи. Это эффективно позволяет любому просматривать видео, созданные с этой камеры, хранящиеся в службе ibbycloud.com, до тех пор, пока эти видео не будут удалены, без какой-либо дополнительной аутентификации.

Соответствующие URL-адреса
  • Доступ к сведениям о камере, включая имена файлов видеозаписи: http://www.ibabycloud.com/cam/index/camid/%7Bserial_number%7D/camtype/%7Bcam_type%7D [любой аутентифицированный пользователь ]
  • Доступ к видеозаписи с камеры: http://d3a9yv3r4ycsw2.cloudfront.net/monitor/alert/{serial_number}/{filename} [аутентификация не требуется]
Дополнительные сведения

Процедура аутентификации ibbycloud.com не работала по крайней мере с июня 2015 г., продолжаясь до публикации этого документа в сентябре 2015 г. Эти ошибки начались после проведения тестирования для этого исследования, и сегодня , не разрешать вход в облачный сервис. Тем не менее, возможно, по-прежнему можно получить действующий сеанс через API и впоследствии использовать сайт и API для получения этих сведений.

Меры по смягчению последствий

Сегодня эта атака более сложна без предварительного знания серийного номера камеры, поскольку на веб-сайте ibbycloud.com отключены все входы в систему. Поэтому злоумышленники должны получить определенные идентификаторы объектов другими способами, такими как прослушивание трафика локальной сети.

Во избежание раскрытия открытого текста локального сетевого трафика клиентам следует обратиться к поставщику по поводу обновления микропрограммы или прекратить использование устройства.

Устройство: iBaby M3S

Сайт производителя оцениваемого устройства: https://ibabylabs.com/ibaby-monitor-m3s. доступный из приглашения входа в систему Telnet и интерфейса UART, который предоставляет доступ к базовой операционной системе. Эти учетные данные подробно описаны ниже.

Операционная система (через Telnet или UART)

  • Имя пользователя: admin
  • Пароль: admin
Способы устранения

Чтобы отключить эти учетные данные, клиенты должны запросить у поставщика обновление микропрограммы. Доступ через UART можно ограничить, запретив физический доступ к устройству ненадежным сторонам. Исправление, предоставляемое поставщиком, должно отключать локальные административные входы в систему, а тем временем конечные пользователи должны защищать корпус устройства этикетками с защитой от несанкционированного доступа.

Хронология раскрытия информации

Сб, 4 июля 2015 г.: Первоначальный контакт с поставщиком

Пн, 06 июля 2015 г.: Ответ поставщика с запросом сведений о заявке № 4085

Вт, 07 июля 2015 г.: Раскрытие информации поставщику Подтверждено получение CERT

Среда, 02 сентября 2015 г.: Публичное раскрытие

Поставщик: Philips Electronics N.

V.

О проблеме с устройством Philips было сообщено CERT в примечании об уязвимости VU#569536.

Устройство: Philips In.Sight B120/37

Сайт производителя оцениваемого устройства: http://www.usa.philips.com/c-p/B120_37/in.sight-wireless-hd-baby-monitor

Уязвимость R7-2015-12.1, Backdoor Credentials (CVE-2015-2882)

Устройство поставляется с жестко запрограммированными и статически сгенерированными учетными данными, которые могут предоставлять доступ как к локальному веб-серверу, так и к операционной системе.

Пароли учетных записей операционной системы «admin» и «mg3500» присутствуют из-за стандартной прошивки, используемой этой камерой, которая используется другими камерами на рынке сегодня.

Статически сгенерированный пароль веб-службы «admin» был впервые задокументирован Полом Прайсом в его блоге[1].

Кроме того, хотя служба telnet может быть отключена по умолчанию в самой последней прошивке, ее можно снова включить с помощью описанной ниже проблемы.

Операционная система (через Telnet или UART)
  • Имя пользователя: root
  • Пароль: b120root
Операционная система (через Telnet или UART)
  • Имя пользователя: admin
  • Пароль: /АДМИН/
Операционная система (через Telnet или UART)
  • Имя пользователя: mg3500
  • Пароль: Мерлин
Локальный веб-сервер

Доступен через http://{device_ip}/cgi-bin/{script_path}

  • Имя пользователя: user
  • Пароль: M100-4674448
Локальный веб-сервер

Доступен через http://{device_ip}/cgi-bin/{script_path}

  • Имя пользователя: admin
  • Пароль: M100-4674448
  • Недавнее обновление изменяет этот пароль, но новый пароль представляет собой просто букву «i», предшествующую первым десяти символам хэша MD5 MAC-адреса устройства.

Уязвимость R7-2015-12.2, Reflective and Stored XSS (CVE-2015-2883)

Веб-служба, используемая в серверной части облачной службы Philips для создания сеансов удаленной потоковой передачи, уязвима для Reflective и Stored XSS. Впоследствии возможен перехват сеанса из-за отсутствия флага HttpOnly.

При доступе к облачной веб-службе Weaved[2] в качестве пользователя, прошедшего проверку подлинности, несколько страниц содержат смесь отраженных и сохраненных XSS, что позволяет потенциально перехватить сеанс. При таком доступе злоумышленник может сгенерировать действительный сеанс потоковой передачи и перехватить его. Два таких примера:

  • https://developer.weaved.com/portal/members/deviceSettings.php?id={mac_address}& name={base64_encoded_xss_string}
  • https://developer.weaved.com/portal/members/shareDevice.php?id={mac_address}&name e={base64_encoded_xss_string}

Уязвимость R7-2015-12.3, прямой просмотр через незащищенную потоковую передачу (CVE-2015-2884)

Метод разрешения удаленного просмотра использует небезопасный транспорт, не предлагает безопасные потоки, защищенные от злоумышленников, и не обеспечивает достаточную защиту от внутренние веб-приложения камеры.

После запроса потока удаленного просмотра прокси-соединение с внутренней веб-службой камеры через облачного провайдера Yoics[3] привязывается к общедоступному имени хоста и номеру порта. Эти номера портов находятся в диапазоне от 32 000 до 39 000, как определено в ходе тестирования. Этот связанный порт привязан к имени хоста с шаблоном proxy[1,3-14].yoics.net, что ограничивает потенциальное количество комбинаций портов и хостов. до исчисляемого уровня. Учитывая это управляемое пространство для атак, злоумышленники могут проверить ответ HTTP 200 за достаточно короткий промежуток времени.

После обнаружения административная привилегия доступна без какой-либо аутентификации для веб-скриптов, доступных на устройстве. Кроме того, при доступе к потоковому URL-адресу с поддержкой Unicode (известному как URL-адрес «m3u8») прямой видео-/аудиопоток будет доступен для камеры и будет оставаться открытым до 1 часа на этой комбинации хоста/порта. Как показало тестирование, не существует ограничений в черном или белом списках, какие IP-адреса могут получить доступ к этим URL-адресам.

Релевантные URL-адреса
  • Открыть аудио/видеопоток с камеры: http://proxy{1,3-14}.yoics.net:{32000-39000}/tmp/stream2/stream.m3u8 [аутентификация не требуется]
  • Удаленно включить службу Telnet на камере: http://proxy{1,3-14}.yoics.net:{32000-39000}/cgi-bin/cam_service_enable.cgi [аутентификация не требуется]

Способы устранения

Чтобы отключить жестко запрограммированные учетные данные, клиенты должны запросить у поставщика обновление микропрограммы. Доступ через UART можно ограничить, запретив физический доступ к устройству ненадежным сторонам. Исправление, предоставляемое поставщиком, должно отключать локальные административные входы в систему, а тем временем конечные пользователи должны защищать корпус устройства этикетками с защитой от несанкционированного доступа. Чтобы избежать проблем с XSS и потоковой передачей открытого текста в облачной службе Philips, клиентам следует избегать использования функции удаленной потоковой передачи устройства и запрашивать у поставщика статус обновления облачной службы.

Дополнительная информация

Перед публикацией этого отчета Philips подтвердила Rapid7, что протестированное устройство было снято с производства Philips в 2013 году, а текущим производителем и дистрибьютором является Gibson Innovations. Компания Gibson разработала решение для выявленных уязвимостей и планирует выпустить обновления к 4 сентября 2015 г. , запрос сведений

Вт, 07 июля 2015 г.: присвоен номер заявки Philips Responsible Disclosure 15191319

Вт, 17 июля 2015 г.: телефонная конференция с поставщиком для обсуждения проблем , 2015 г.: Подтверждено получение сертификата CERT

, четверг, 27 августа 2015 г.: обращение в Weaved для проверки R7-2015-12.2

, вторник, 1 сентября 2015 г.: обращение в Philips по поводу роли Gibson Innovations

, среда, 2 сентября , 2015: Публичное раскрытие

Поставщик: Summer Infant

О проблемах с устройством Summer Infant было сообщено CERT в примечании об уязвимости VU#837936.

Устройство: Summer Baby Zoom WiFi Monitor & Internet Viewing System

Сайт производителя оцениваемого устройства: http://www.summerinfant.com/monitoring/internet/babyzoomwifi.

Уязвимость R7-2015-13.1, обход аутентификации (CVE-2015-2888)

Обход аутентификации позволяет добавить произвольную учетную запись к любой камере без аутентификации.

Веб-служба MySnapCam[4] используется для поддержки функций камеры, включая управление учетными записями для доступа. URL-адрес, который можно получить с помощью HTTP-запроса GET, можно использовать для добавления нового пользователя к камере. Этот URL-адрес не требует, чтобы кто-либо из администраторов камеры имел действующий сеанс для выполнения этого запроса, что позволяет любому, кто запрашивает URL-адрес со своими данными для любого идентификатора камеры, добавить доступ к этому устройству.

После успешного добавления нового пользователя на адрес электронной почты, предоставленный злоумышленником, будет отправлено электронное письмо с данными аутентификации для веб-сайта MySnapCam и мобильного приложения. Администраторы камеры не уведомляются о новой учетной записи.

Соответствующий URL-адрес
  • Добавьте произвольного пользователя к любой камере: https://swifiserv.mysnapcam.com/register/?fn={first_name}&ln={last_name}&email={ email}&userType=3&userGroup={id} [аутентификация не требуется]

Уязвимость R7-2015-13.2, повышение привилегий (CVE-2015-2889)

Обычный пользователь, прошедший проверку подлинности, может получить доступ к административному интерфейсу, который не может проверить привилегии, что приводит к повышению привилегий.

Интерфейс «Настройки» существует для администратора облачной службы камеры и отображается в виде ссылки в их интерфейсе при входе в систему. Если пользователь без прав администратора войдет в эту камеру и вручную введет этот URL-адрес, он сможет увидеть те же административные действия и выполнить их, как если бы у них были права администратора. Это позволяет непривилегированному пользователю произвольно повышать привилегии учетной записи.

Соответствующий URL-адрес
  • Доступ к административным действиям в качестве непривилегированного, но действительного пользователя: https://www.summerlinkwifi.com/settings_users.php [требуется учетная запись пользователя для камеры]

Меры по снижению риска

Во избежание воздействия обхода аутентификации и повышения привилегий клиенты должны использовать устройство только в режиме локальной сети и использовать правила исходящего брандмауэра для блокировки доступа камеры к Интернету. Если требуется доступ в Интернет, клиенты должны узнать об обновлении облачных сервисов Summer Infant.

Хронология раскрытия информации

Сб, 04 июля 2015 г.: Первоначальный контакт с поставщиком : Подтверждено получение поставщиком

Среда, 02 сентября 2015 г.: Обнародование

Поставщик: Lens Laboratories(f)

О проблемах с устройством Lens Laboratories(f) было сообщено CERT в примечании об уязвимости VU#931216.

Устройство: Объектив Peek-a-View

Сайт поставщика оцениваемого устройства: http://www. amazon.com/Peek—view-Resolution-Wireless-Monitor/dp/B00N5AVMQI/

Следует особо отметить, зарегистрированный домен для этого поставщика. Все ссылки на поставщика указывают непосредственно на Amazon, но Amazon не является ни производителем, ни поставщиком.

Уязвимость R7-2015-14, Backdoor Credentials (CVE-2015-2885)

Устройство поставляется с жестко закодированными учетными данными, доступными через интерфейс UART, который предоставляет доступ к базовой операционной системе, и через локальную веб-службу, предоставляя доступ к локальному приложению через веб-интерфейс.

Из-за слабых прав доступа к файловой системе локальная учетная запись «admin» ОС имеет эффективные привилегии «root».

Операционная система (через UART)
  • Имя пользователя: admin
  • Пароль: 2601hx
Локальный веб-сервер

Сайт: http://{device_ip}/web/

  • Имя пользователя: user
  • Пароль: пользователь
Локальный веб-сервер

Сайт: через http://{device_ip}/web/

  • Имя пользователя: гость
  • Пароль: гость

Способы устранения

Чтобы отключить эти учетные данные, клиенты должны запросить у поставщика обновление микропрограммы. Доступ через UART можно ограничить, запретив физический доступ к устройству ненадежным сторонам. Исправление, предоставляемое поставщиком, должно отключать локальные административные входы в систему, а тем временем конечные пользователи должны защищать корпус устройства этикетками с защитой от несанкционированного доступа.

Хронология раскрытия информации

Сб, 4 июля 2015 г.: Попытка найти контакт с поставщиком

Вт, 21 июля 2015 г.: раскрытие в CERT

Пт, 24 июля 2015 г.: подтверждение получения CERT

Среда, 2 сентября 2015 г.: публичное раскрытие

Поставщик: Gynoii, Inc.

Вопросы для Устройства Gynoii были раскрыты CERT в примечании об уязвимости VU#738848.

Устройство: Gynoii

Сайт поставщика оцениваемого устройства: http://www.gynoii.com/product.html

Уязвимость R7-2015-15, Учетные данные бэкдора (CVE-2015-2881)

Устройство поставляется с жестко закодированными учетными данными, доступными через локальную веб-службу, что обеспечивает доступ к локальному приложению через веб-интерфейс.

Локальный веб-сервер

Сайт: http://{device_ip}/admin/

  • Имя пользователя: гость
  • Пароль: гость
Локальный веб-сервер

Сайт: http://{device_ip}/admin/

  • Имя пользователя: admin
  • Пароль: 12345

Способы устранения

Чтобы отключить эти учетные данные, клиенты должны запросить у поставщика обновление микропрограммы.

Хронология раскрытия информации

Сб, 04 июля 2015 г.: Первоначальный контакт с поставщиком : Публичное раскрытие

Поставщик: TRENDnet

О проблемах с устройством TRENDnet было сообщено CERT в примечании об уязвимости VU#136207.

Устройство: TRENDnet WiFi Baby Cam TV-IP743SIC

Сайт производителя тестируемого устройства: http://www.trendnet.com/products/proddetail.asp?prod=235_TV-IP743SIC

Уязвимость R7-2015-16: Учетные данные бэкдора (CVE-2015-2880)

Устройство поставляется с жестко запрограммированными учетными данными, доступными через интерфейс UART, обеспечивающими локальный доступ к операционной системе корневого уровня.

Операционная система (через UART)
  • Имя пользователя: root
  • Пароль: admin

Способы устранения

Чтобы отключить эти учетные данные, клиенты должны запросить у поставщика обновление микропрограммы. Доступ через UART можно ограничить, запретив физический доступ к устройству ненадежным сторонам. Исправление, предоставляемое поставщиком, должно отключать локальные административные входы в систему, а тем временем конечные пользователи должны защищать корпус устройства этикетками с защитой от несанкционированного доступа.

График раскрытия информации

Сб, 04 июля 2015 г.: Первоначальный контакт с продавцом 20 июля 2015 г.: Разъяснение предоставлено поставщику

Вт, 21 июля 2015 г.: Раскрытие информации в CERT

Среда, 2 сентября 2015 г.: Публичное раскрытие информации

Не только радионяни

Как видите, было сделано несколько новых выводов. от разных поставщиков, работающих в одном пространстве. Здесь, в Rapid7, мы считаем, что это не уникально для индустрии видеоняни в частности, но свидетельствует о более крупной системной проблеме с IoT в целом. Мы собрали коллекцию ресурсов IoT, включая технический документ и часто задаваемые вопросы, охватывающие эти вопросы, которые должны дать вам представление о том, где мы находимся в этом путешествии по безопасности IoT. Присоединяйтесь к нам на следующей неделе, чтобы принять участие в живом веб-семинаре, на котором Марк Станислав и Тод Бердсли обсудят эти вопросы подробнее, или просто используйте хэштег #IoTSec в Твиттере, чтобы привлечь наше внимание вопросом или комментарием.

А пока следите за этими вещами, присматривайте за своими младенцами и малышами.

Обновление (02 сентября 2015 г.): Gynoii признала вышеупомянутое исследование вскоре после публикации и оценивает соответствующие стратегии исправления.

Обновление (02 сентября 2015 г.): iBaby Labs сообщила, что истечение срока действия токена доступа и защищенные каналы связи были реализованы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *