當前位置: 首頁 新聞動态

    Amazon Ring存在允許訪問(wèn)私人(rén)攝像機(jī)錄制的(de)漏洞

    2022/8/22 8:54:54 人(rén)評論

    Amazon Ring應用程序中存在允許訪問(wèn)私人(rén)攝像機(jī)錄制的(de)漏洞

         用于遠(yuǎn)程管理(lǐ)Amazon Ring outdoor(視(shì)頻(pín)門鈴)和(hé)室內(nèi)監控攝像機(jī)的(de)AndroidRing應用程序中存在漏洞,攻擊者可能利用該漏洞提取用戶的(de)個(gè)人(rén)數據和(hé)設備數據,包括地(dì)理(lǐ)位置、地(dì)址和(hé)錄音(yīn)。

         Checkmarx的(de)研究人(rén)員(yuán)發現(xiàn)了該漏洞,他(tā)們更進一步,演示了攻擊者如何在計(jì)算(suàn)機(jī)視(shì)覺技(jì)術的(de)幫助下(xià)分析大量記錄,以提取額外(wài)的(de)敏感信息(例如,從(cóng)計(jì)算(suàn)機(jī)屏幕或紙質文(wén)檔)和(hé)材料(例如,視(shì)頻(pín)記錄或兒(ér)童圖像)。

    ring.jpg

     關于這(zhè)個(gè)漏洞

         “在com.ringapp/com.ring.nh.deeplink.DeepLinkActivity活動中發現(xiàn)了該漏洞,該活動在Android清單中隐式導出,因此,同一設備上(shàng)的(de)其他(tā)應用程序可以訪問(wèn)該漏洞,”研究人(rén)員(yuán)解釋說(shuō)。

         具體(tǐ)的(de)漏洞和(hé)利用細節可在此處找到,但(dàn)簡而言之:如果攻擊者成功誘騙Ring用戶下(xià)載巧盡心思構建的(de)惡意應用程序,該應用程序可能會利用該漏洞獲取身(shēn)份驗證令牌和(hé)硬件(jiàn)ID,從(cóng)而使攻擊者能夠通(tōng)過多個(gè)Ring API訪問(wèn)客戶的(de)RIng帳戶。

         這(zhè)将允許他(tā)們過濾存儲在雲中的(de)受害者個(gè)人(rén)(姓名、電(diàn)子(zǐ)郵件(jiàn)、電(diàn)話(huà)号碼)和(hé)鈴聲設備數據(地(dì)理(lǐ)位置、地(dì)址和(hé)錄音(yīn))。

         但(dàn)這(zhè)還(hái)不是全部:該漏洞可能讓攻擊者從(cóng)大量用戶那(nà)裏獲取數百萬條記錄,并在機(jī)器(qì)學習(xí)技(jì)術的(de)幫助下(xià),自(zì)動發現(xiàn)敏感信息或材料。

         研究人(rén)員(yuán)指出:“[Amazon]Rekognion可用于自(zì)動分析這(zhè)些記錄,并提取對(duì)惡意參與者有(yǒu)用的(de)信息。Rekognation可掃描無限數量的(de)視(shì)頻(pín),并檢測對(duì)象、文(wén)本、面部和(hé)公衆人(rén)物(wù)等。”。

     該漏洞已被修複

         好(hǎo)消息是,研究人(rén)員(yuán)已私下(xià)向亞馬遜Ring開(kāi)發團隊報告了該漏洞,并在Ring移動應用程序的(de).51版本(3.51.0 Android5.51.0iOS)中修複了該漏洞。

         “根據我們的(de)審查,沒有(yǒu)暴露任何客戶信息,”亞馬遜告訴研究人(rén)員(yuán),并補充說(shuō),“任何人(rén)都(dōu)很(hěn)難利用這(zhè)個(gè)問(wèn)題,因為(wèi)它需要一系列不太可能的(de)複雜(zá)環境來(lái)執行。”

         盡管如此,既然知識已經公開(kāi),Ring用戶應該檢查他(tā)們是否已經升級到了應用的(de)固定版本,如果沒有(yǒu),就立即升級。


    返回列表

    相(xiàng)關新聞

    ×