Niedawno Amazon załatał lukę w aplikacji na Androida dla swoich kamer monitorujących Ring. Podatność ta ujawniła dane użytkowników i nagrania wideo. Na początku bieżącego roku lukę odkryli badacze z Checkmarx – firmy zajmującej się cyberbezpieczeństwem. Zgłosili oni, iż oficjalna aplikacja Ring na Androida, która została zainstalowana ponad 10 milionów razy z Google Play, była dotknięta kilkoma problemami, które można było powiązać w celu uzyskania informacji, takich jak imię i nazwisko, adres e-mail, numer telefonu, adres fizyczny, dane geolokalizacyjne i nagrania z kamer.
Atak opiera się na złośliwej aplikacji zainstalowanej na tym samym urządzeniu z Androidem, co aplikacja Ring camera. Wykorzystywanie obejmuje ładowanie treści ze złośliwej strony internetowej, eksfiltrację tokena autoryzacyjnego na serwer atakującego i użycie tokena do uzyskania pliku cookie potrzebnego do wywołania interfejsów API pierścienia. Te interfejsy API mogą następnie zostać wykorzystane do uzyskania poufnych danych i nagrań użytkownika.
Checkmarx upublicznił szczegóły techniczne ataku w czwartek, wraz z filmem opisującym jego potencjalny wpływ.
Badacze, korzystając z usługi analizy obrazu i wideo firmy Amazon Rekognition, aby zautomatyzować analizę nagrań wykonanych z kamer pierścieniowych pokazali, w jaki sposób atakujący może znaleźć poufne dane z ekranów lub dokumentów i śledzić ruchy ludzi w pomieszczeniu monitorowanym przez kamerę pierścieniową.
Luka została zgłoszona Amazonowi za pośrednictwem programu bug bounty 1 maja, a aktualizacja aplikacji na Androida, która łata lukę, została wydana 27 maja.
„Poważnie traktujemy bezpieczeństwo naszych urządzeń i usług i doceniamy pracę niezależnych badaczy. W maju, niedługo po przetworzeniu zgłoszenia przez badaczy, wprowadziliśmy poprawkę dla obsługiwanych klientów Androida. Na podstawie naszej recenzji nie ujawniono żadnych informacji o klientach” – powiedział rzecznik Ringa dla SecurityWeek.
Nie jest to pierwszy raz, kiedy hakerzy atakują produkty Ring. Amazon miał choćby do czynienia z procesami sądowymi Klientów, którym zhakowano kamery. Na kapitanie hacku pisaliśmy o innych możliwościach hakowania produktów Amazona tutaj.
Warto może przy tej okazji przypomnieć sprawę sprzed dwóch lat. W 2020 roku badacze odkryli, iż Ring zawiera moduły śledzące i wysyła dużą ilość informacji umożliwiających identyfikację osoby (PII). Sprawę upubliczniła Electronic Frontier Foundation (EFF).
Według EFF aplikacja Ring wysyłał dane użytkowników do czterech głównych firm analitycznych i marketingowych, a mianowicie branch.io, mixpanel.com, appsflyer.com i facebook.com. Wysysane dane obejmowały nazwy, adresy IP, operatorów sieci, trwałe identyfikatory i dane z czujników.
Facebook był powiadamiany o otwarciu aplikacji, a także o jej dezaktywacji po zablokowaniu ekranu za pośrednictwem interfejsu Graph API. Ponadto dane były przesyłane do platformy społecznościowej, choćby jeżeli użytkownik nie miał konta.
Informacje wysyłane do Facebooka obejowały strefę czasową, model urządzenia, preferencje językowe, rozdzielczość ekranu i unikalny identyfikator (anon_id). Ten identyfikator nie zniknie choćby po zresetowaniu identyfikatora na poziomie systemu operacyjnego.
Do „głębokiego” linkowania platformy Branch Ring wysyłał kilka unikalnych identyfikatorów (device_fingerprint_id, hardware_id, identity_id) wraz z lokalnym adresem IP urządzenia, modelem, rozdzielczością ekranu i DPI.
Informacje, które otrzymywała AppsFlyer, obejmowała: operatora komórkowego, datę instalacji pierścienia, unikalne identyfikatory, informacje czy śledzenie AppsFlyer zostało wstępnie zainstalowane na urządzeniu, zainstalowane czujniki (magnetometr, żyroskop i akcelerometr) oraz bieżące ustawienia kalibracji.
Usługa analityki biznesowej MixPanel otrzymywał najwięcej informacji: „imiona i nazwiska użytkowników, adresy e-mail, informacje o urządzeniu, takie jak wersja i model systemu operacyjnego, czy Bluetooth jest włączony, oraz ustawienia aplikacji, takie jak liczba lokalizacji, w których użytkownik ma zainstalowane urządzenia Ring”.
Należąca do Google usługa rejestrowania awarii Crashalytics również otrzymuje informacje od Ringa, ale EFF nie określił dokładnego zakresu udostępniania danych.
Jak twierdziła fundacja, aplikacja wykorzystuje szyfrowany protokół HTTPS do przesyłania danych w taki sposób, aby wymykał się analizie.
Ilość danych udostępnianych stronom trzecim, zauważa EFF, jest alarmująca, ponieważ umożliwia tym firmom łatwe śledzenie użytkowników w różnych aplikacjach.
W następstwie skarg związanych z bezpieczeństwem i prywatnością, firma Ring, należąca do Amazona, ogłosiła, iż jej aplikacje na iOS i Androida niedługo będą zawierać nowe Centrum sterowania, z którego użytkownicy będą mogli zarządzać funkcjami i ustawieniami prywatności i bezpieczeństwa. Centrum sterowania ułatwia użytkownikom włączanie uwierzytelniania dwuskładnikowego, sprawdzanie, kto jest zalogowany na konto, wylogowywanie, przeglądanie połączeń z usługami stron trzecich oraz uniemożliwianie lokalnym oddziałom policji dostępu do materiału filmowego z kamer Ring.