今年早些时候,安全研究人员发现了一种方法来访问客户的环安全录像黑客的Android应用程序服务。
周四,网络安全厂商Checkmarx披露(在一个新窗口打开)Amazon-owned环后的缺陷有机会悄悄补丁的问题。
Android应用程序中的漏洞涉及函数环摄像头,专门在这个过程中“com.ringapp / com.ring.nh.deeplink.DeepLinkActivity”访问其他Android应用程序在相同的设备。这为恶意应用程序安装在同一安卓手机劫持对环应用的访问。
Checkmarx进一步研究,研究人员发现他们可以完成攻击。环的Android应用程序”将接受、加载和执行web内容从任何服务器,只要意图的目的地URI包含字符串/更好的环境中,”该公司在一篇博客文章中写道。
概念验证Checkmarx攻击使用恶意的Android应用程序加载一个网页来访问和操纵的偷一个授权令牌环服务。这个令牌可以用来利用戒指的api“提取客户的个人资料,包括姓名,电子邮件,和电话号码,和环装置的数据,包括地理位置、地址、和录音。”
攻击是令人信服的一枚戒指的限制客户使用一个Android手机安装恶意程序。但如果黑客可以做成这件事,然后客户最可以暴露私人信息。Checkmarx研究人员还把他们的概念验证攻击进一步通过展示Amazon自己的计算机视觉技术,Rekognition可以用来帮助攻击者快速筛选环客户找到最敏感的录像视频。
“我们可以使用亚马逊Rekognition找到图片的文档文字“绝密”或“私人”写在他们,”研究人员说。
环5月27日发布了一个补丁,幸运的是,它应该出现在Android版本3.51.0版本的应用程序。这进一步对Checkmarx说:“根据我们的评估,没有客户信息被曝光。这个问题是极其困难的,任何人利用,因为它需要一个不太可能的和复杂的情况下执行”。