女警察野外伦理HD_强伦女教师2:伦理_美国伦理巜干柴烈火2_我和妽妽伦理HD12_巜少妇的滋味3伦理_年轻女教师3伦理

    Amazon Ring存在允許訪問(wèn)私人攝像機(jī)錄制的漏洞

    2022/8/22 8:54:54 人評(píng)論

    Amazon Ring應(yīng)用程序中存在允許訪問(wèn)私人攝像機(jī)錄制的漏洞

         用于遠(yuǎn)程管理Amazon Ring outdoor(視頻門(mén)鈴)和室內(nèi)監(jiān)控?cái)z像機(jī)的AndroidRing應(yīng)用程序中存在漏洞,攻擊者可能利用該漏洞提取用戶的個(gè)人數(shù)據(jù)和設(shè)備數(shù)據(jù),包括地理位置、地址和錄音。

         Checkmarx的研究人員發(fā)現(xiàn)了該漏洞,他們更進(jìn)一步,演示了攻擊者如何在計(jì)算機(jī)視覺(jué)技術(shù)的幫助下分析大量記錄,以提取額外的敏感信息(例如,從計(jì)算機(jī)屏幕或紙質(zhì)文檔)和材料(例如,視頻記錄或兒童圖像)。

    ring.jpg

     關(guān)于這個(gè)漏洞

         “在com.ringapp/com.ring.nh.deeplink.DeepLinkActivity活動(dòng)中發(fā)現(xiàn)了該漏洞,該活動(dòng)在Android清單中隱式導(dǎo)出,因此,同一設(shè)備上的其他應(yīng)用程序可以訪問(wèn)該漏洞,”研究人員解釋說(shuō)。

         具體的漏洞和利用細(xì)節(jié)可在此處找到,但簡(jiǎn)而言之:如果攻擊者成功誘騙Ring用戶下載巧盡心思構(gòu)建的惡意應(yīng)用程序,該應(yīng)用程序可能會(huì)利用該漏洞獲取身份驗(yàn)證令牌和硬件ID,從而使攻擊者能夠通過(guò)多個(gè)Ring API訪問(wèn)客戶的RIng帳戶。

         這將允許他們過(guò)濾存儲(chǔ)在云中的受害者個(gè)人(姓名、電子郵件、電話號(hào)碼)和鈴聲設(shè)備數(shù)據(jù)(地理位置、地址和錄音)。

         但這還不是全部:該漏洞可能讓攻擊者從大量用戶那里獲取數(shù)百萬(wàn)條記錄,并在機(jī)器學(xué)習(xí)技術(shù)的幫助下,自動(dòng)發(fā)現(xiàn)敏感信息或材料。

         研究人員指出:“[Amazon]Rekognion可用于自動(dòng)分析這些記錄,并提取對(duì)惡意參與者有用的信息。Rekognation可掃描無(wú)限數(shù)量的視頻,并檢測(cè)對(duì)象、文本、面部和公眾人物等?!薄?/span>

     該漏洞已被修復(fù)

         好消息是,研究人員已私下向亞馬遜Ring開(kāi)發(fā)團(tuán)隊(duì)報(bào)告了該漏洞,并在Ring移動(dòng)應(yīng)用程序的.51版本(3.51.0 Android5.51.0iOS)中修復(fù)了該漏洞。

         “根據(jù)我們的審查,沒(méi)有暴露任何客戶信息,”亞馬遜告訴研究人員,并補(bǔ)充說(shuō),“任何人都很難利用這個(gè)問(wèn)題,因?yàn)樗枰幌盗胁惶赡艿膹?fù)雜環(huán)境來(lái)執(zhí)行?!?/span>

         盡管如此,既然知識(shí)已經(jīng)公開(kāi),Ring用戶應(yīng)該檢查他們是否已經(jīng)升級(jí)到了應(yīng)用的固定版本,如果沒(méi)有,就立即升級(jí)。


    ×
    新邵县| 包头市| 万宁市| 宜兰市| 米易县| 娄底市| 专栏| 澎湖县| 屏山县| 莒南县| 江西省| 都江堰市| 台山市| 子洲县| 临邑县| 鹤岗市| 黄浦区| 自贡市| 乌海市| 普格县| 甘孜县| 兰考县| 高台县| 中西区| 北海市| 安吉县| 阿拉善右旗| 郴州市| 原阳县| 高尔夫| 云安县| 望都县| 乌鲁木齐市| 繁昌县| 贺州市| 逊克县| 故城县| 治县。| 荆门市| 天津市| 鹿邑县|