Amazon Ring存在允許訪問私人攝像機錄制的漏洞

    2022/8/22 8:54:54 人評論

    Amazon Ring應用(yòng)程序中存在允許訪問私人攝像機錄制的漏洞

         用(yòng)于遠程管理(lǐ)Amazon Ring outdoor(視(shì)頻門(mén)鈴)和(hé)室内監控攝像機的AndroidRing應用(yòng)程序中存在漏洞,攻擊者可能(néng)利用(yòng)該漏洞提取用(yòng)戶的個人數據和(hé)設備數據,包括地理(lǐ)位置、地址和(hé)錄音(yīn)。

         Checkmarx的研究人員發現(xiàn)了(le)該漏洞,他(tā)們更進一步,演示了(le)攻擊者如何在計(jì)算(suàn)機視(shì)覺技術的幫助下(xià)分析大(dà)量記錄,以提取額外(wài)的敏感信息(例如,從(cóng)計(jì)算(suàn)機屏幕或紙(zhǐ)質文(wén)檔)和(hé)材料(例如,視(shì)頻記錄或兒童圖像)。

    ring.jpg

     關于這(zhè)個漏洞

         “在com.ringapp/com.ring.nh.deeplink.DeepLinkActivity活動中發現(xiàn)了(le)該漏洞,該活動在Android清單中隐式導出,因此,同一設備上(shàng)的其他(tā)應用(yòng)程序可以訪問該漏洞,”研究人員解釋說。

         具體的漏洞和(hé)利用(yòng)細節可在此處找到(dào),但(dàn)簡而言之:如果攻擊者成功誘騙Ring用(yòng)戶下(xià)載巧盡心思構建的惡意應用(yòng)程序,該應用(yòng)程序可能(néng)會(huì)利用(yòng)該漏洞獲取身份驗證令牌和(hé)硬件ID,從(cóng)而使攻擊者能(néng)夠通過多個Ring API訪問客戶的RIng帳戶。

         這(zhè)将允許他(tā)們過濾存儲在雲中的受害者個人(姓名、電子郵件、電話(huà)号碼)和(hé)鈴聲設備數據(地理(lǐ)位置、地址和(hé)錄音(yīn))。

         但(dàn)這(zhè)還不是全部:該漏洞可能(néng)讓攻擊者從(cóng)大(dà)量用(yòng)戶那裏獲取數百萬條記錄,并在機器學習技術的幫助下(xià),自(zì)動發現(xiàn)敏感信息或材料。

         研究人員指出:“[Amazon]Rekognion可用(yòng)于自(zì)動分析這(zhè)些(xiē)記錄,并提取對(duì)惡意參與者有用(yòng)的信息。Rekognation可掃描無限數量的視(shì)頻,并檢測對(duì)象、文(wén)本、面部和(hé)公衆人物等。”。

     該漏洞已被修複

         好(hǎo)消息是,研究人員已私下(xià)向亞馬遜Ring開(kāi)發團隊報(bào)告了(le)該漏洞,并在Ring移動應用(yòng)程序的.51版本(3.51.0 Android5.51.0iOS)中修複了(le)該漏洞。

         “根據我們的審查,沒有暴露任何客戶信息,”亞馬遜告訴研究人員,并補充說,“任何人都很(hěn)難利用(yòng)這(zhè)個問題,因爲它需要一系列不太可能(néng)的複雜(zá)環境來(lái)執行。”

         盡管如此,既然知(zhī)識已經公開(kāi),Ring用(yòng)戶應該檢查他(tā)們是否已經升級到(dào)了(le)應用(yòng)的固定版本,如果沒有,就立即升級。


    ×