Amazon Ring存在允許訪問私人攝像機錄制的漏洞

    2022/8/22 8:54:54 人評論

    Amazon Ring應用程序中存在允許訪問私人攝像機錄制的漏洞

         用于遠程管理Amazon Ring outdoor(視頻門鈴)和室内監控攝像機的AndroidRing應用程序中存在漏洞,攻擊者可能(néng)利用該漏洞提取用戶的個人數據和設備數據,包括地理位置、地址和錄音。

         Checkmarx的研究人員發(fā)現了該漏洞,他們更進(jìn)一步,演示了攻擊者如何在計算機視覺技術的幫助下分析大量記錄,以提取額外的敏感信息(例如,從計算機屏幕或紙質文檔)和材料(例如,視頻記錄或兒童圖像)。

    ring.jpg

     關于這(zhè)個漏洞

         “在com.ringapp/com.ring.nh.deeplink.DeepLinkActivity活動中發(fā)現了該漏洞,該活動在Android清單中隐式導出,因此,同一設備上的其他應用程序可以訪問該漏洞,”研究人員解釋說。

         具體的漏洞和利用細節可在此處找到,但簡而言之:如果攻擊者成(chéng)功誘騙Ring用戶下載巧盡心思構建的惡意應用程序,該應用程序可能(néng)會利用該漏洞獲取身份驗證令牌和硬件ID,從而使攻擊者能(néng)夠通過(guò)多個Ring API訪問客戶的RIng帳戶。

         這(zhè)將(jiāng)允許他們過(guò)濾存儲在雲中的受害者個人(姓名、電子郵件、電話号碼)和鈴聲設備數據(地理位置、地址和錄音)。

         但這(zhè)還(hái)不是全部:該漏洞可能(néng)讓攻擊者從大量用戶那裡(lǐ)獲取數百萬條記錄,并在機器學(xué)習技術的幫助下,自動發(fā)現敏感信息或材料。

         研究人員指出:“[Amazon]Rekognion可用于自動分析這(zhè)些記錄,并提取對(duì)惡意參與者有用的信息。Rekognation可掃描無限數量的視頻,并檢測對(duì)象、文本、面(miàn)部和公衆人物等。”。

     該漏洞已被(bèi)修複

         好(hǎo)消息是,研究人員已私下向(xiàng)亞馬遜Ring開(kāi)發(fā)團隊報告了該漏洞,并在Ring移動應用程序的.51版本(3.51.0 Android5.51.0iOS)中修複了該漏洞。

         “根據我們的審查,沒(méi)有暴露任何客戶信息,”亞馬遜告訴研究人員,并補充說,“任何人都(dōu)很難利用這(zhè)個問題,因爲它需要一系列不太可能(néng)的複雜環境來執行。”

         盡管如此,既然知識已經(jīng)公開(kāi),Ring用戶應該檢查他們是否已經(jīng)升級到了應用的固定版本,如果沒(méi)有,就立即升級。


    ×