La vulnerabilidad crítica de Amazon Ring podría exponer las grabaciones de la cámara

Tech News

La vulnerabilidad fue descubierta por la empresa de seguridad de aplicaciones Checkmarx, con sede en Atlanta, mientras evaluaba la aplicación Ring Doorbell para Android.

En mayo de 2022, Amazonas fue alertado sobre una falla de seguridad de alta gravedad en su muy popular aplicación Ring orientada a la seguridad del hogar para Android. La vulnerabilidad podría permitir a los atacantes acceder a las grabaciones de la cámara de Ring y extraer datos confidenciales.

Para su información, la aplicación de la cámara Ring permite a los propietarios monitorear las grabaciones de video de los timbres y las cámaras de seguridad y cuenta con más de 10 millones de descargas.

La vulnerabilidad fue descubierta por una empresa de seguridad de aplicaciones con sede en Atlanta, Checkmarx, mientras evaluaba la aplicación Ring Doorbell para Android. La falla podría exponer datos confidenciales del usuario, incluidos los siguientes:

  • Dirección
  • Nombre completo
  • Geolocalización
  • Dirección de correo electrónico
  • Número de teléfono

Aunque Amazon solucionó rápidamente la vulnerabilidad en el mismo mes en que se descubrió, Checkmarx solo compartió los detalles el 18 de agosto.

Según la empresa entrada en el blog, era una falla de secuencias de comandos entre sitios que podía explotarse en una cadena de ataque para engañar a las víctimas para que instalaran una aplicación infectada. Esta aplicación podría entregar el token de autorización del dispositivo y extraer la cookie de sesión enviando la información con la identificación del hardware del dispositivo a este punto final: “ringcom/mobile/authorize”.

Se engaña a la víctima para que instale esa aplicación, lo que permite al atacante recopilar cookies de autenticación. Estas cookies permitirían al atacante acceder a la cuenta de un usuario sin ingresar la contraseña.

Como resultado, la aplicación maliciosa podría robar la información privada, los datos de geolocalización y las grabaciones de la cámara del usuario de Ring, incluidos los archivos y las pantallas de computadora visibles para la cámara de la aplicación. El actor malicioso también puede rastrear los movimientos de los propietarios dentro de las habitaciones o del edificio.

Los investigadores de Checkmarx encontraron múltiples errores en la aplicación Ring para Android, que podrían permitir colectivamente a los atacantes explotar la aplicación y sus usuarios con una aplicación maliciosa o una actualización de una aplicación existente que se ejecuta en el dispositivo.

Checkmarx informó este problema el 1 de mayo de 2022 y Amazon lo solucionó el 27 de mayo en la versión 3.5.1.0 de la aplicación Ring para Android. La portavoz de Ring, Claudia Fellerman, le dijo a TechCrunch que esto es “extremadamente difícil” de explotar vulnerabilidad no se usó en ataques del mundo real y los datos de los clientes no quedaron expuestos.

“Según nuestra revisión, no se expuso ninguna información del cliente. Este problema sería extremadamente difícil de explotar para cualquier persona porque requiere un conjunto de circunstancias poco probables y complejas para ejecutarlo”.

Checkmarx

  1. La falla de ThroughTek expuso millones de cámaras IoT al espionaje
  2. Base de datos con fugas expone una estafa de reseñas falsas de productos de Amazon
  3. Amazon envió 1.700 grabaciones de audio de usuario de Alexa a un extraño
  4. 3 TB de clips de cámaras de seguridad domésticas expuestas publicados en línea
  5. Hacker de Whitehat muestra cómo detectar cámaras ocultas en Airbnb y hoteles

Sharing is caring!

Leave a Reply