Kritieke Amazon Ring-kwetsbaarheid kan camera-opnamen blootleggen

Tech News


Het beveiligingslek werd ontdekt door het in Atlanta gevestigde app-beveiligingsbedrijf Checkmarx tijdens het beoordelen van de Ring doorbell-app voor Android.

In mei 2022, Amazone werd gewaarschuwd voor een zeer ernstige beveiligingsfout in de enorm populaire Ring-app voor Android voor thuisbeveiliging. Door het beveiligingslek kunnen aanvallers toegang krijgen tot camera-opnamen van Ring en gevoelige gegevens extraheren.

Ter informatie: met de Ring camera-app kunnen huiseigenaren video-opnamen van de deurbellen en beveiligingscamera’s volgen en zijn er meer dan 10 miljoen downloads.

Het beveiligingslek werd ontdekt door een in Atlanta gevestigd app-beveiligingsbedrijf Checkmarx tijdens het beoordelen van de Ring doorbell-app voor Android. De fout kan gevoelige gebruikersgegevens blootleggen, waaronder de volgende:

  • Adres
  • Voor-en achternaam
  • Geolocatie
  • E-mailadres
  • Telefoonnummer

Hoewel Amazon de kwetsbaarheid snel herstelde in dezelfde maand toen deze werd ontdekt, werden de details ervan pas op 18 augustus door Checkmarx gedeeld.

Volgens het bedrijf blogpost, was het een cross-site scriptfout die in een aanvalsketen kon worden misbruikt om slachtoffers te misleiden om een ​​geïnfecteerde app te installeren. Deze app zou het autorisatietoken van het apparaat kunnen overhandigen en de sessiecookie kunnen extraheren door de informatie met de hardware-ID van het apparaat naar dit eindpunt te sturen: ‘ringcom/mobile/authorize’.

Het slachtoffer wordt misleid om die app te installeren, waardoor de aanvaller authenticatiecookies kan verzamelen. Met deze cookies kan de aanvaller toegang krijgen tot het account van een gebruiker zonder het wachtwoord in te voeren.

Het resultaat was dat de kwaadaardige app de privégegevens, geolocatiegegevens en camera-opnamen van de Ring-gebruiker zou kunnen stelen, inclusief bestanden en computerschermen die zichtbaar zijn voor de camera van de app. De kwaadwillende actor kan ook de bewegingen van de huiseigenaren in de kamers of het gebouw volgen.

Checkmarx-onderzoekers hebben meerdere bugs gevonden in de Ring Android-app, waardoor aanvallers gezamenlijk de app en zijn gebruikers kunnen misbruiken met een kwaadaardige app of een update van een bestaande app die op het apparaat draait.

Checkmarx meldde dit probleem op 1 mei 2022 en Amazon loste het op 27 mei op in versie 3.5.1.0 van de Ring Android-app. Ring-woordvoerder Claudia Fellerman vertelde TechCrunch dat dit “extreem moeilijk” is om misbruik maken van kwetsbaarheid werd niet gebruikt bij aanvallen in de echte wereld en klantgegevens werden niet openbaar gemaakt.

“Op basis van onze beoordeling is er geen klantinformatie vrijgegeven. Dit probleem zou voor iedereen buitengewoon moeilijk te exploiteren zijn, omdat het een onwaarschijnlijke en complexe reeks omstandigheden vereist om uit te voeren.

Checkmarx

  1. ThroughTek Flaw stelde miljoenen IoT-camera’s bloot aan spionage
  2. Lekkende database onthult nep-zwendel met productrecensies van Amazon
  3. Amazon stuurde 1.700 audio-opnames van Alexa-gebruiker naar een vreemde
  4. 3 TB aan clips van blootgestelde beveiligingscamera’s voor thuis die online zijn geplaatst
  5. Whitehacker laat zien hoe verborgen camera’s in Airbnb, hotels kunnen worden gedetecteerd

Sharing is caring!

Leave a Reply