亚马逊的 Ring 悄悄修补了一个安全漏洞,该漏洞使用户的相机记录面临暴露风险
亚马逊旗下的 Ring in May 悄悄修补了一个“高度严重”的安全漏洞,该漏洞可能允许恶意行为者访问 Ring Video Doorbell 摄像头的录音并提取用户的个人数据。
亚特兰大应用安全公司 Checkmarx 的研究人员在扫描 Android 版 Ring 应用时发现了该漏洞。此应用程序允许用户监控视频门铃和安全摄像头录制的镜头。它已被下载超过 1000 万次。
研究人员发现该应用程序存在多个错误,当这些错误链接在一起时,攻击者可能会通过构建和发布在同一设备上运行的恶意应用程序(或将更新推送到现有应用程序)来利用该漏洞。如果潜在受害者被诱骗安装恶意应用程序,这将允许攻击者获取身份验证 cookie,这些小文件允许用户保持永久登录状态,而无需不断重新输入密码。
使用这些 cookie,攻击者可以在没有密码的情况下访问用户的帐户,从而允许恶意应用程序窃取全名、电子邮件地址、电话号码和用户数据。Ring 用户的 Ring 设备,例如摄像头记录和地理位置数据。
Checkmarx 表示,成功的攻击者自己可以从 Ring 摄像头记录中提取更多信息,例如文档中的信息或 Ring 摄像头可见的计算机屏幕上的信息,或者跟踪人们进出房间或建筑物的活动。
Ring 于 5 月 27 日在 Android Ring 应用程序版本 3.51.0 中修复了该问题,并告诉 Checkmarx 没有客户数据被泄露。到达后,Ring 发言人 Claudia Fellerman 向 TechCrunch 证实,Ring 已修复漏洞。
Ring 在 2018 年被亚马逊以大约 10 亿美元的价格收购。从那时起,这家可视门铃制造商已将其执法合作伙伴关系扩大到美国 2,200 多个警察部门,允许警方向业主索要可视门铃摄像头的镜头.去年,Ring 向当局提供了创纪录数量的用户数据和客户视频记录,并在 2022 年迄今未经帐户所有者同意的情况下与警方分享了 11 次客户图像。
今年早些时候,TechCrunch 披露了 Ring's Neighbors 应用程序中的一个安全漏洞,暴露了在该应用程序上发帖的用户的精确位置和家庭地址。
亚马逊旗下的 Ring in May 悄悄修补了一个“高度严重”的安全漏洞,该漏洞可能允许恶意行为者访问 Ring Video Doorbell 摄像头的录音并提取用户的个人数据。
亚特兰大应用安全公司 Checkmarx 的研究人员在扫描 Android 版 Ring 应用时发现了该漏洞。此应用程序允许用户监控视频门铃和安全摄像头录制的镜头。它已被下载超过 1000 万次。
研究人员发现该应用程序存在多个错误,当这些错误链接在一起时,攻击者可能会通过构建和发布在同一设备上运行的恶意应用程序(或将更新推送到现有应用程序)来利用该漏洞。如果潜在受害者被诱骗安装恶意应用程序,这将允许攻击者获取身份验证 cookie,这些小文件允许用户保持永久登录状态,而无需不断重新输入密码。
使用这些 cookie,攻击者可以在没有密码的情况下访问用户的帐户,从而允许恶意应用程序窃取全名、电子邮件地址、电话号码和用户数据。Ring 用户的 Ring 设备,例如摄像头记录和地理位置数据。
Checkmarx 表示,成功的攻击者自己可以从 Ring 摄像头记录中提取更多信息,例如文档中的信息或 Ring 摄像头可见的计算机屏幕上的信息,或者跟踪人们进出房间或建筑物的活动。
Ring 于 5 月 27 日在 Android Ring 应用程序版本 3.51.0 中修复了该问题,并告诉 Checkmarx 没有客户数据被泄露。到达后,Ring 发言人 Claudia Fellerman 向 TechCrunch 证实,Ring 已修复漏洞。
Ring 在 2018 年被亚马逊以大约 10 亿美元的价格收购。从那时起,这家可视门铃制造商已将其执法合作伙伴关系扩大到美国 2,200 多个警察部门,允许警方向业主索要可视门铃摄像头的镜头.去年,Ring 向当局提供了创纪录数量的用户数据和客户视频记录,并在 2022 年迄今未经帐户所有者同意的情况下与警方分享了 11 次客户图像。
今年早些时候,TechCrunch 披露了 Ring's Neighbors 应用程序中的一个安全漏洞,暴露了在该应用程序上发帖的用户的精确位置和家庭地址。
What's Your Reaction?
