女警察野外伦理HD_强伦女教师2:伦理_美国伦理巜干柴烈火2_我和妽妽伦理HD12_巜少妇的滋味3伦理_年轻女教师3伦理

    Amazon Ring存在允許訪問(wèn)私人攝像機(jī)錄制的漏洞

    2022/8/22 8:54:54 人評(píng)論

    Amazon Ring應(yīng)用程序中存在允許訪問(wèn)私人攝像機(jī)錄制的漏洞

         用于遠(yuǎn)程管理Amazon Ring outdoor(視頻門(mén)鈴)和室內(nèi)監(jiān)控?cái)z像機(jī)的AndroidRing應(yīng)用程序中存在漏洞,攻擊者可能利用該漏洞提取用戶的個(gè)人數(shù)據(jù)和設(shè)備數(shù)據(jù),包括地理位置、地址和錄音。

         Checkmarx的研究人員發(fā)現(xiàn)了該漏洞,他們更進(jìn)一步,演示了攻擊者如何在計(jì)算機(jī)視覺(jué)技術(shù)的幫助下分析大量記錄,以提取額外的敏感信息(例如,從計(jì)算機(jī)屏幕或紙質(zhì)文檔)和材料(例如,視頻記錄或兒童圖像)。

    ring.jpg

     關(guān)于這個(gè)漏洞

         “在com.ringapp/com.ring.nh.deeplink.DeepLinkActivity活動(dòng)中發(fā)現(xiàn)了該漏洞,該活動(dòng)在Android清單中隱式導(dǎo)出,因此,同一設(shè)備上的其他應(yīng)用程序可以訪問(wèn)該漏洞,”研究人員解釋說(shuō)。

         具體的漏洞和利用細(xì)節(jié)可在此處找到,但簡(jiǎn)而言之:如果攻擊者成功誘騙Ring用戶下載巧盡心思構(gòu)建的惡意應(yīng)用程序,該應(yīng)用程序可能會(huì)利用該漏洞獲取身份驗(yàn)證令牌和硬件ID,從而使攻擊者能夠通過(guò)多個(gè)Ring API訪問(wèn)客戶的RIng帳戶。

         這將允許他們過(guò)濾存儲(chǔ)在云中的受害者個(gè)人(姓名、電子郵件、電話號(hào)碼)和鈴聲設(shè)備數(shù)據(jù)(地理位置、地址和錄音)。

         但這還不是全部:該漏洞可能讓攻擊者從大量用戶那里獲取數(shù)百萬(wàn)條記錄,并在機(jī)器學(xué)習(xí)技術(shù)的幫助下,自動(dòng)發(fā)現(xiàn)敏感信息或材料。

         研究人員指出:“[Amazon]Rekognion可用于自動(dòng)分析這些記錄,并提取對(duì)惡意參與者有用的信息。Rekognation可掃描無(wú)限數(shù)量的視頻,并檢測(cè)對(duì)象、文本、面部和公眾人物等?!薄?/span>

     該漏洞已被修復(fù)

         好消息是,研究人員已私下向亞馬遜Ring開(kāi)發(fā)團(tuán)隊(duì)報(bào)告了該漏洞,并在Ring移動(dòng)應(yīng)用程序的.51版本(3.51.0 Android5.51.0iOS)中修復(fù)了該漏洞。

         “根據(jù)我們的審查,沒(méi)有暴露任何客戶信息,”亞馬遜告訴研究人員,并補(bǔ)充說(shuō),“任何人都很難利用這個(gè)問(wèn)題,因?yàn)樗枰幌盗胁惶赡艿膹?fù)雜環(huán)境來(lái)執(zhí)行?!?/span>

         盡管如此,既然知識(shí)已經(jīng)公開(kāi),Ring用戶應(yīng)該檢查他們是否已經(jīng)升級(jí)到了應(yīng)用的固定版本,如果沒(méi)有,就立即升級(jí)。


    ×
    台安县| 珠海市| 门头沟区| 唐海县| 留坝县| 曲麻莱县| 迭部县| 榆社县| 嘉定区| 泰和县| 岳普湖县| 漳州市| 承德县| 志丹县| 鄂托克前旗| 游戏| 景洪市| 仲巴县| 黄平县| 敦煌市| 盐边县| 密山市| 铁岭市| 叙永县| 庄浪县| 双牌县| 辽源市| 丰镇市| 沐川县| 鸡泽县| 莒南县| 汝州市| 山阳县| 策勒县| 吉隆县| 格尔木市| 达孜县| 昌乐县| 韶关市| 明星| 大渡口区|