Эта неприятная уязвимость Amazon Ring могла раскрыть все ваши записи
19 августа 2022 г.Приложение для Android от Ring, принадлежащей Amazon фирмы, которая предлагает дверные звонки и внутренние и наружные камеры наблюдения имели уязвимость, которая могла позволить злоумышленникам украсть идентификацию< /a> данные, включая геолокацию и записи с камер.
Исследователи кибербезопасности из Checkmarx обнаружили уязвимость в активности com.ringapp/com.ring.nh.deeplink.DeepLinkActivity, отметив, что она «неявно экспортируется в манифест Android и, как таковая, была доступна к другим приложениям на том же устройстве.
"Эти другие приложения могут быть вредоносными приложениями, которые можно убедить пользователей установить. Это действие будет принимать, загружать и выполнять веб-контент с любого сервера, если URI назначения Intent содержит строку «/better-neighborhoods/».
Кража конфиденциальных данных
Другими словами, вредоносное приложение, установленное на устройстве Android, может получить доступ к конфиденциальным данным, сгенерированным приложением Ring, не только к геолокации и записям с камер, но и к полным именам, электронной почте, номерам телефонов и почтовым адресам.
На данный момент приложение Android Ring загружено более 10 миллионов раз.
Checkmarx даже пошла еще дальше, используя Rekognition (инструмент машинного обучения для анализа изображений и видео) для автоматизации анализа. украденного видеоконтента и извлекать дополнительную полезную информацию, такую как лица, текст, публичные лица, информацию с экранов компьютеров, информацию о передвижениях людей и т. д.
Checkmarx уведомила Amazon об уязвимости 1 мая этого года, а менее чем через месяц, 27 мая, компания выпустила исправление. Таким образом, начиная с версии .51 (3.51.0 для Android и 5.51.0 для iOS) уязвимость устранена.
Amazon сочла это серьезной проблемой и быстро приняла меры по патч.
"Мы выпустили исправление для поддерживаемых пользователей Android 27 мая 2022 года, вскоре после обработки заявки исследователей. Согласно нашему обзору, информация о клиентах не была раскрыта. Кому-либо будет чрезвычайно сложно использовать эту проблему, потому что для ее выполнения требуется маловероятное и сложное стечение обстоятельств», — заключила компания.
- Вот наше краткое изложение лучших видеодомофонов, чтобы вы видеть и говорить со всеми, кто приходит к вам на порог
Оригинал