2022/8/22 8:54:54 人评论次

Amazon Ring应用程序中存在允许访问私人摄像机录制的漏洞

用于远程管理Amazon Ring outdoor（视频门铃）和室内监控摄像机的Android版Ring应用程序中存在漏洞，攻击者可能利用该漏洞提取用户的个人数据和设备数据，包括地理位置、地址和录音。

Checkmarx的研究人员发现了该漏洞，他们更进一步，演示了攻击者如何在计算机视觉技术的帮助下分析大量记录，以提取额外的敏感信息（例如，从计算机屏幕或纸质文档）和材料（例如，视频记录或儿童图像）。

关于这个漏洞

“在com.ringapp/com.ring.nh.deeplink.DeepLinkActivity活动中发现了该漏洞，该活动在Android清单中隐式导出，因此，同一设备上的其他应用程序可以访问该漏洞，”研究人员解释说。

具体的漏洞和利用细节可在此处找到，但简而言之：如果攻击者成功诱骗Ring用户下载巧尽心思构建的恶意应用程序，该应用程序可能会利用该漏洞获取身份验证令牌和硬件ID，从而使攻击者能够通过多个Ring API访问客户的RIng帐户。

这将允许他们过滤存储在云中的受害者个人（姓名、电子邮件、电话号码）和铃声设备数据（地理位置、地址和录音）。

但这还不是全部：该漏洞可能让攻击者从大量用户那里获取数百万条记录，并在机器学习技术的帮助下，自动发现敏感信息或材料。

研究人员指出：“[Amazon]Rekognion可用于自动分析这些记录，并提取对恶意参与者有用的信息。Rekognation可扫描无限数量的视频，并检测对象、文本、面部和公众人物等。”。

该漏洞已被修复

好消息是，研究人员已私下向亚马逊Ring开发团队报告了该漏洞，并在Ring移动应用程序的.51版本（3.51.0 Android，5.51.0iOS）中修复了该漏洞。

“根据我们的审查，没有暴露任何客户信息，”亚马逊告诉研究人员，并补充说，“任何人都很难利用这个问题，因为它需要一系列不太可能的复杂环境来执行。”

尽管如此，既然知识已经公开，Ring用户应该检查他们是否已经升级到了应用的固定版本，如果没有，就立即升级。

海龙科技

相关新闻