Amazon Ring存在允許訪問私人攝像機錄制的漏洞
Amazon Ring應用程序中存在允許訪問私人攝像機錄制的漏洞
用于遠程管理Amazon Ring outdoor(視頻門鈴)和室內監控攝像機的Android版Ring應用程序中存在漏洞,攻擊者可能利用該漏洞提取用戶的個人數據和設備數據,包括地理位置、地址和錄音。
Checkmarx的研究人員發現了該漏洞,他們更進一步,演示了攻擊者如何在計算機視覺技術的幫助下分析大量記錄,以提取額外的敏感信息(例如,從計算機屏幕或紙質文檔)和材料(例如,視頻記錄或兒童圖像)。
關于這個漏洞
“在com.ringapp/com.ring.nh.deeplink.DeepLinkActivity活動中發現了該漏洞,該活動在Android清單中隱式導出,因此,同一設備上的其他應用程序可以訪問該漏洞,”研究人員解釋說。
具體的漏洞和利用細節可在此處找到,但簡而言之:如果攻擊者成功誘騙Ring用戶下載巧盡心思構建的惡意應用程序,該應用程序可能會利用該漏洞獲取身份驗證令牌和硬件ID,從而使攻擊者能夠通過多個Ring API訪問客戶的RIng帳戶。
這將允許他們過濾存儲在云中的受害者個人(姓名、電子郵件、電話號碼)和鈴聲設備數據(地理位置、地址和錄音)。
但這還不是全部:該漏洞可能讓攻擊者從大量用戶那里獲取數百萬條記錄,并在機器學習技術的幫助下,自動發現敏感信息或材料。
研究人員指出:“[Amazon]Rekognion可用于自動分析這些記錄,并提取對惡意參與者有用的信息。Rekognation可掃描無限數量的視頻,并檢測對象、文本、面部和公眾人物等。”。
該漏洞已被修復
好消息是,研究人員已私下向亞馬遜Ring開發團隊報告了該漏洞,并在Ring移動應用程序的.51版本(3.51.0 Android,5.51.0iOS)中修復了該漏洞。
“根據我們的審查,沒有暴露任何客戶信息,”亞馬遜告訴研究人員,并補充說,“任何人都很難利用這個問題,因為它需要一系列不太可能的復雜環境來執行。”
盡管如此,既然知識已經公開,Ring用戶應該檢查他們是否已經升級到了應用的固定版本,如果沒有,就立即升級。
相關新聞
-
>數以千計的 QNAP NAS 設備被DeadBolt勒索軟件攻擊 (CVE-2022-27593)
-
>什么是數據工程師?
-
>IPguard發布新版本4.51.113.0
-
>IPguard發布新版本4.61.123.0
-
>祝賀我司續簽IPguard鉆石代理(最高級)
-
>IPguard發布新版本4.54.818.0
-
>GitLab的Critical RCE bug已修補,請盡快更新!(CVE-2022-2884)
-
>屏幕水印技術有哪些表現形態
-
>IPguard發布新版本4.53.613.0
-
>修復Atlassian Bitbucket服務器和數據中心中的關鍵漏洞!(CVE-2022-36804)
