- ¿Consultas?
- +56998246696
- revistaseguridadonline@gmail.com
Raytheon lanza un servicio de vigilancia segura y datos globales para usuarios gubernamentales
Agosto 21, 2022
Ciberseguridad y Redes de Comunicación: Los talones de Aquiles de la Minería Chilena
Agosto 21, 2022La vulnerabilidad en la aplicación Amazon Ring permitió el acceso a grabaciones de cámaras privadas
Los atacantes podrían haber aprovechado una vulnerabilidad en la versión de Android de la aplicación Ring, que se utiliza para administrar de forma remota las cámaras de vigilancia para exteriores (videoportero) e interiores de Amazon Ring, para extraer datos personales de los usuarios y datos del dispositivo, incluida la geolocalización, la dirección, y grabaciones.
La vulnerabilidad fue descubierta por los investigadores de Checkmarx, quienes fueron un paso más allá y demostraron cómo un atacante podría luego analizar una gran cantidad de grabaciones con la ayuda de la tecnología de visión por computadora, para extraer información confidencial adicional (por ejemplo, de pantallas de computadora o documentos en papel) y material. (por ejemplo, registros de video o imágenes de niños).
Sobre la vulnerabilidad
“La vulnerabilidad se encontró en la actividad com.ringapp/com.ring.nh.deeplink.DeepLinkActivity , que se exportó implícitamente en el Manifiesto de Android y, como tal, era accesible para otras aplicaciones en el mismo dispositivo”, explicaron los investigadores.
En resumen: si los atacantes hubieran logrado engañar a los usuarios de RIng para que descargaran una aplicación maliciosa especialmente diseñada, la aplicación podría haber aprovechado la vulnerabilidad para obtener el token de autenticación y la identificación del hardware que habría permitido atacantes para acceder a la cuenta de Ring del cliente a través de varias API de Ring.
Esto les habría permitido filtrar los datos personales de las víctimas (nombre, correo electrónico, número de teléfono) y del dispositivo Ring (geolocalización, dirección y grabaciones) almacenados en la nube.
Pero eso no es todo: la vulnerabilidad podría haber permitido a los atacantes recopilar millones de grabaciones de una gran cantidad de usuarios y, con la ayuda de la tecnología de aprendizaje automático, automatizar el descubrimiento de información o materiales confidenciales.
“[Amazon] Rekognition se puede usar para automatizar el análisis de estas grabaciones y extraer información que podría ser útil para los actores malintencionados. Rekognition puede escanear una cantidad ilimitada de videos y detectar objetos, texto, rostros y figuras públicas, entre otras cosas”, señalaron los investigadores.
El error ha sido corregido.
La buena noticia es que los investigadores informaron de forma privada la vulnerabilidad al equipo de desarrollo de Amazon Ring y la repararon en la versión .51 (3.51.0 Android, 5.51.0 iOS) de la aplicación móvil Ring.
“Según nuestra revisión, no se expuso información de los clientes”, dijo Amazon a los investigadores, y agregó que “este problema sería extremadamente difícil de explotar para cualquiera, porque requiere un conjunto de circunstancias poco probables y complejas para ejecutarlo”.
Sin embargo, ahora que el conocimiento es público, los usuarios de Ring deben verificar si ya han actualizado a una versión fija de la aplicación y, si no lo han hecho, hacerlo de inmediato.
