女警察野外伦理HD_强伦女教师2:伦理_美国伦理巜干柴烈火2_我和妽妽伦理HD12_巜少妇的滋味3伦理_年轻女教师3伦理

    Amazon Ring存在允許訪問私人攝像機(jī)錄制的漏洞

    2022/8/22 8:54:54 人評(píng)論

    Amazon Ring應(yīng)用程序中存在允許訪問私人攝像機(jī)錄制的漏洞

         用于遠(yuǎn)程管理Amazon Ring outdoor(視頻門鈴)和室內(nèi)監(jiān)控?cái)z像機(jī)的AndroidRing應(yīng)用程序中存在漏洞,攻擊者可能利用該漏洞提取用戶的個(gè)人數(shù)據(jù)和設(shè)備數(shù)據(jù),包括地理位置、地址和錄音。

         Checkmarx的研究人員發(fā)現(xiàn)了該漏洞,他們更進(jìn)一步,演示了攻擊者如何在計(jì)算機(jī)視覺技術(shù)的幫助下分析大量記錄,以提取額外的敏感信息(例如,從計(jì)算機(jī)屏幕或紙質(zhì)文檔)和材料(例如,視頻記錄或兒童圖像)。

    ring.jpg

     關(guān)于這個(gè)漏洞

         “在com.ringapp/com.ring.nh.deeplink.DeepLinkActivity活動(dòng)中發(fā)現(xiàn)了該漏洞,該活動(dòng)在Android清單中隱式導(dǎo)出,因此,同一設(shè)備上的其他應(yīng)用程序可以訪問該漏洞,”研究人員解釋說(shuō)。

         具體的漏洞和利用細(xì)節(jié)可在此處找到,但簡(jiǎn)而言之:如果攻擊者成功誘騙Ring用戶下載巧盡心思構(gòu)建的惡意應(yīng)用程序,該應(yīng)用程序可能會(huì)利用該漏洞獲取身份驗(yàn)證令牌和硬件ID,從而使攻擊者能夠通過多個(gè)Ring API訪問客戶的RIng帳戶。

         這將允許他們過濾存儲(chǔ)在云中的受害者個(gè)人(姓名、電子郵件、電話號(hào)碼)和鈴聲設(shè)備數(shù)據(jù)(地理位置、地址和錄音)。

         但這還不是全部:該漏洞可能讓攻擊者從大量用戶那里獲取數(shù)百萬(wàn)條記錄,并在機(jī)器學(xué)習(xí)技術(shù)的幫助下,自動(dòng)發(fā)現(xiàn)敏感信息或材料。

         研究人員指出:“[Amazon]Rekognion可用于自動(dòng)分析這些記錄,并提取對(duì)惡意參與者有用的信息。Rekognation可掃描無(wú)限數(shù)量的視頻,并檢測(cè)對(duì)象、文本、面部和公眾人物等?!薄?/span>

     該漏洞已被修復(fù)

         好消息是,研究人員已私下向亞馬遜Ring開發(fā)團(tuán)隊(duì)報(bào)告了該漏洞,并在Ring移動(dòng)應(yīng)用程序的.51版本(3.51.0 Android5.51.0iOS)中修復(fù)了該漏洞。

         “根據(jù)我們的審查,沒有暴露任何客戶信息,”亞馬遜告訴研究人員,并補(bǔ)充說(shuō),“任何人都很難利用這個(gè)問題,因?yàn)樗枰幌盗胁惶赡艿膹?fù)雜環(huán)境來(lái)執(zhí)行。”

         盡管如此,既然知識(shí)已經(jīng)公開,Ring用戶應(yīng)該檢查他們是否已經(jīng)升級(jí)到了應(yīng)用的固定版本,如果沒有,就立即升級(jí)。


    ×
    雅江县| 静海县| 集安市| 山阳县| 闽清县| 眉山市| 河南省| 古蔺县| 石阡县| 高邑县| 读书| 乌鲁木齐市| 孝义市| 怀柔区| 家居| 四会市| 平邑县| 武山县| 呼图壁县| 津南区| 扎赉特旗| 容城县| 调兵山市| 石楼县| 荣昌县| 冀州市| 磐安县| 洞口县| 定兴县| 五寨县| 武邑县| 资源县| 勃利县| 通许县| 华坪县| 南陵县| 湘潭市| 宝坻区| 秦皇岛市| 五原县| 泸定县|