Kritik Amazon Ring Kusuru, Saldırganların Kamera Kayıtlarına Erişmesine İzin Verebilir

Atlanta merkezli küresel bir yazılım güvenliği şirketi olan Checkmarx, Ring Android uygulamasında, kullanıcının telefonunda yüklü olan kötü amaçlı bir uygulamanın kişisel verilerini, coğrafi konumlarını ve kamera kayıtlarını açığa çıkarmasına izin verebilecek bir güvenlik açığı gözlemledi.

Amazon'un Ring App uygulaması 100 milyondan fazla indirmeye sahiptir ve ev güvenlik alanında çalışır ve dış ve iç mekan gözetim kameralarını içeren ürünler üretir.

Ring Android App'teki Güvenlik Açığı

Güvenlik açığı, Android için Ring doorbell uygulaması değerlendirilirken keşfedildi. Checkmarx araştırmacıları güvenlik açığını com[.] ringapp/com.ring.nh[.]deeplink.DeepLinkActivity etkinliği, Android Bildiriminde dolaylı olarak dışa aktarıldı ve bu nedenle, kullanıcıların yüklemeye ikna edilebileceği kötü amaçlı uygulamalar tarafından erişilebilirdi.

Özellikle, araştırmacılar Yansıyan Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığının, kurbanları kötü amaçlı bir uygulama yüklemeye tuzağa düşürmek için bir saldırı zincirinin parçası olarak silahlandırılabileceğini buldular. Bu uygulama, cihazın Yetkilendirme Belirtecini verebilir ve cihazın donanım kimliğiyle ilgili bilgileri bu uç noktaya göndererek oturum tanımlama bilgisini ayıklayabilir – "ringcom/mobil/yetkilendirme".

Bu durumda, kurban, saldırganın kimlik doğrulama çerezleri toplamasına izin veren kötü amaçlı uygulamayı yüklemesi için kandırılır. Bu tanımlama bilgileri, saldırganın parolayı girmeden kullanıcının hesabına erişmesine olanak tanır.

Aşağıdaki API'ler Kullanıldı

• https://acount[.]ring.com/account/control-center – kurbanın kişisel verilerini ve cihaz kimliğini elde etmek için kullanılır
• https://account[.]ring.com/api/cgw/evm/v2/history/devices/{{DEVICE_ID}} – cihaz verilerini ve kayıtlarını elde etmek için kullanılır

"Daha sonra tam ad, e-posta ve telefon numarası dahil olmak üzere müşterinin kişisel verilerini ve coğrafi konum, adres ve kayıtlar dahil olmak üzere Ring cihazının verilerini çıkarmak için Ring'in API'lerini kullanmak mümkün oldu", Checkmarx

Raporlar, kötü niyetli aktörün ev sahiplerinin oda veya ikamet ettikleri bina içindeki faaliyetlerini izleyebilmesinin de mümkün olduğunu söylüyor.

Checkmarx bu sorunu 1 Mayıs 2022'de bildirdi, Amazon bunu yüksek önem derecesine sahip bir sorun olarak gördü ve bildirildikten kısa bir süre sonra bunun için bir düzeltme yayınladı. "Desteklenen Android müşterileri için 27 Mayıs 2022'de, araştırmacıların gönderimi işleme alındıktan kısa bir süre sonra bir düzeltme yayınladık. İncelememize dayanarak, hiçbir müşteri bilgisi açığa çıkmadı. Bu konudan herhangi birinin yararlanması son derece zor olacaktır, çünkü yürütülmesi olası olmayan ve karmaşık bir dizi koşul gerektirir."

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.