2022/8/22 8:54:54 人評論次

Amazon Ring應(yīng)用程序中存在允許訪問私人攝像機錄制的漏洞

用于遠程管理Amazon Ring outdoor（視頻門鈴）和室內(nèi)監(jiān)控攝像機的Android版Ring應(yīng)用程序中存在漏洞，攻擊者可能利用該漏洞提取用戶的個人數(shù)據(jù)和設(shè)備數(shù)據(jù)，包括地理位置、地址和錄音。

Checkmarx的研究人員發(fā)現(xiàn)了該漏洞，他們更進一步，演示了攻擊者如何在計算機視覺技術(shù)的幫助下分析大量記錄，以提取額外的敏感信息（例如，從計算機屏幕或紙質(zhì)文檔）和材料（例如，視頻記錄或兒童圖像）。

關(guān)于這個漏洞

“在com.ringapp/com.ring.nh.deeplink.DeepLinkActivity活動中發(fā)現(xiàn)了該漏洞，該活動在Android清單中隱式導(dǎo)出，因此，同一設(shè)備上的其他應(yīng)用程序可以訪問該漏洞，”研究人員解釋說。

具體的漏洞和利用細節(jié)可在此處找到，但簡而言之：如果攻擊者成功誘騙Ring用戶下載巧盡心思構(gòu)建的惡意應(yīng)用程序，該應(yīng)用程序可能會利用該漏洞獲取身份驗證令牌和硬件ID，從而使攻擊者能夠通過多個Ring API訪問客戶的RIng帳戶。

這將允許他們過濾存儲在云中的受害者個人（姓名、電子郵件、電話號碼）和鈴聲設(shè)備數(shù)據(jù)（地理位置、地址和錄音）。

但這還不是全部：該漏洞可能讓攻擊者從大量用戶那里獲取數(shù)百萬條記錄，并在機器學(xué)習(xí)技術(shù)的幫助下，自動發(fā)現(xiàn)敏感信息或材料。

研究人員指出：“[Amazon]Rekognion可用于自動分析這些記錄，并提取對惡意參與者有用的信息。Rekognation可掃描無限數(shù)量的視頻，并檢測對象、文本、面部和公眾人物等。”。

該漏洞已被修復(fù)

好消息是，研究人員已私下向亞馬遜Ring開發(fā)團隊報告了該漏洞，并在Ring移動應(yīng)用程序的.51版本（3.51.0 Android，5.51.0iOS）中修復(fù)了該漏洞。

“根據(jù)我們的審查，沒有暴露任何客戶信息，”亞馬遜告訴研究人員，并補充說，“任何人都很難利用這個問題，因為它需要一系列不太可能的復(fù)雜環(huán)境來執(zhí)行。”

盡管如此，既然知識已經(jīng)公開，Ring用戶應(yīng)該檢查他們是否已經(jīng)升級到了應(yīng)用的固定版本，如果沒有，就立即升級。

大地资源二中文在线播放第一集,大地影院,大地资源网中文第三页的在线观看,大地中文在线观看,大地视频,大地二资源在线高清免费播放

海龍科技