Yüzük
Güvenlik firması Checkmarx’a göre Amazon, Ring uygulamasında, kullanıcıların kamera kayıtlarını ve diğer verilerini açığa çıkarabilecek bir güvenlik açığını sessizce ama hızlı bir şekilde düzeltti.
Checkmarx araştırmacıları, bir blog yazısında, Ring’in 10 milyondan fazla kez indirilen Android uygulamasının, Android cihazlardaki diğer tüm uygulamalara bir etkinlik sunduğunu yazıyor. yüzük com.ring.nh.deeplink.DeepLinkActivity adres metni içerdiği sürece kendisine verilen herhangi bir web içeriğini yürütür /better-neighborhoods/.
Bu tek başına Ring verilerine erişim izni vermezdi, ancak Checkmarx, Ring’in dahili tarayıcısında bir yetkilendirme belirtecine yönlendirmek için siteler arası bir komut dosyası çalıştırma güvenlik açığı kullanabildi. Daha sonra Checkmarx, bu belirteci ve donanım tanımlayıcısını bir Ring uç noktasında yetkilendirerek bir oturum tanımlama bilgisi aldı ve ardından adları, e-posta adreslerini, telefon numaralarını, Ring cihaz verilerini (coğrafi konum dahil) ve kayıtlı kayıtları çıkarmak için Ring’in API’lerini kullandı.
https://www.youtube.com/watch?v=eJ5Qsx4Fdks
Checkmarx’ın görüntü testleri ve kapüşonlu bir bilgisayar korsanı içeren videosu.
Ve sonra Checkmarx devam etti. Kendi örnek kullanıcı kayıtlarına ve herhangi bir sayıda makine öğrenimi destekli bilgisayarla görme hizmetine (Amazon’un kendi Rekognition’ı dahil) erişim ile güvenlik firması geniş açı yaptı. Firmanın testlerinde bulduğu, şunları tarayabilirsiniz:
- Kasalar ve potansiyel olarak kombinasyonları
- “Çok Gizli” veya “Özel” kelimelerini içeren belgelerin resimleri
- Bilinen ünlüler ve siyasi figürler
- Şifreler ve şifreler
- Çocuklar, bir Ring kamerasının karşısında yalnız
Açık olmak gerekirse, güvenlik açığı vahşi doğada hiçbir zaman istismar edilmedi. Checkmarx 1 Mayıs’ta bildirdi, Amazon aynı gün alındığını onayladı ve bir düzeltme yayınlandı (Android için 3.51.0, iOS için 5.51.0). Checkmarx, Amazon’un yüksek önem arz eden soruna onayla ama aynı zamanda ertelemeyle yanıt verdiğini söylüyor. Amazon, Checkmarx’a verdiği demeçte, “Bu sorundan herhangi birinin yararlanması son derece zor olurdu çünkü yürütülmesi olası ve karmaşık bir dizi koşul gerektiriyor” dedi.
Checkmarx’taki güvenlik araştırması başkan yardımcısı Erez Yalon, The Record’a bantlanmış güvenlik açıklarının bilgisayar korsanları arasında gıpta edildiğini söyledi.
“Her biri sorunlu olabilir, ancak onları birbirine zincirlemek, bilgisayar korsanlarının her zaman yapmaya çalıştığı bir şey, onu çok etkili kıldı.”
(13:50 ET Güncellemesi: Erez Yalon’un adının yazımını düzeltmek için güncellendi. Ars yaptığı hatadan pişmanlık duyar.)