當前位置: 首頁 新聞動态

    Amazon Ring存在允許訪問私人(rén)攝像機錄制(zhì)的漏洞

    2022/8/22 8:54:54 人(rén)評論

    Amazon Ring應用程序中存在允許訪問私人(rén)攝像機錄制(zhì)的漏洞

         用于遠程管理(lǐ)Amazon Ring outdoor(視(shì)頻門(mén)鈴)和(hé)室內(nèi)監控攝像機的AndroidRing應用程序中存在漏洞,攻擊者可(kě)能利用該漏洞提取用戶的個(gè)人(rén)數(shù)據和(hé)設備數(shù)據,包括地理(lǐ)位置、地址和(hé)錄音(yīn)。

         Checkmarx的研究人(rén)員發現了該漏洞,他們更進一步,演示了攻擊者如何在計(jì)算(suàn)機視(shì)覺技(jì)術(shù)的幫助下分析大(dà)量記錄,以提取額外的敏感信息(例如,從計(jì)算(suàn)機屏幕或紙質文檔)和(hé)材料(例如,視(shì)頻記錄或兒童圖像)。

    ring.jpg

     關于這個(gè)漏洞

         “在com.ringapp/com.ring.nh.deeplink.DeepLinkActivity活動中發現了該漏洞,該活動在Android清單中隐式導出,因此,同一設備上(shàng)的其他應用程序可(kě)以訪問該漏洞,”研究人(rén)員解釋說。

         具體(tǐ)的漏洞和(hé)利用細節可(kě)在此處找到,但(dàn)簡而言之:如果攻擊者成功誘騙Ring用戶下載巧盡心思構建的惡意應用程序,該應用程序可(kě)能會(huì)利用該漏洞獲取身份驗證令牌和(hé)硬件ID,從而使攻擊者能夠通(tōng)過多(duō)個(gè)Ring API訪問客戶的RIng帳戶。

         這将允許他們過濾存儲在雲中的受害者個(gè)人(rén)(姓名、電(diàn)子郵件、電(diàn)話(huà)号碼)和(hé)鈴聲設備數(shù)據(地理(lǐ)位置、地址和(hé)錄音(yīn))。

         但(dàn)這還(hái)不是全部:該漏洞可(kě)能讓攻擊者從大(dà)量用戶那(nà)裏獲取數(shù)百萬條記錄,并在機器(qì)學習技(jì)術(shù)的幫助下,自動發現敏感信息或材料。

         研究人(rén)員指出:“[Amazon]Rekognion可(kě)用于自動分析這些(xiē)記錄,并提取對惡意參與者有(yǒu)用的信息。Rekognation可(kě)掃描無限數(shù)量的視(shì)頻,并檢測對象、文本、面部和(hé)公衆人(rén)物等。”。

     該漏洞已被修複

         好消息是,研究人(rén)員已私下向亞馬遜Ring開(kāi)發團隊報告了該漏洞,并在Ring移動應用程序的.51版本(3.51.0 Android5.51.0iOS)中修複了該漏洞。

         “根據我們的審查,沒有(yǒu)暴露任何客戶信息,”亞馬遜告訴研究人(rén)員,并補充說,“任何人(rén)都很(hěn)難利用這個(gè)問題,因為(wèi)它需要一系列不太可(kě)能的複雜環境來(lái)執行(xíng)。”

         盡管如此,既然知識已經公開(kāi),Ring用戶應該檢查他們是否已經升級到了應用的固定版本,如果沒有(yǒu),就立即升級。


    返回列表

    相關新聞

    ×