干逼视频|夫洗澡公强我了60分钟|夫妇交换做爰4|夫妇互换当面做的爱|疯狂顶弄H禁欲医生H|丰年经继拇中文2优惠

    Amazon Ring存在允許訪問(wèn)私人攝像機(jī)錄制的漏洞

    2022/8/22 8:54:54 人評(píng)論

    Amazon Ring應(yīng)用程序中存在允許訪問(wèn)私人攝像機(jī)錄制的漏洞

         用于遠(yuǎn)程管理Amazon Ring outdoor(視頻門鈴)和室內(nèi)監(jiān)控?cái)z像機(jī)的AndroidRing應(yīng)用程序中存在漏洞,攻擊者可能利用該漏洞提取用戶的個(gè)人數(shù)據(jù)和設(shè)備數(shù)據(jù),包括地理位置、地址和錄音。

         Checkmarx的研究人員發(fā)現(xiàn)了該漏洞,他們更進(jìn)一步,演示了攻擊者如何在計(jì)算機(jī)視覺(jué)技術(shù)的幫助下分析大量記錄,以提取額外的敏感信息(例如,從計(jì)算機(jī)屏幕或紙質(zhì)文檔)和材料(例如,視頻記錄或兒童圖像)。

    ring.jpg

     關(guān)于這個(gè)漏洞

         “在com.ringapp/com.ring.nh.deeplink.DeepLinkActivity活動(dòng)中發(fā)現(xiàn)了該漏洞,該活動(dòng)在Android清單中隱式導(dǎo)出,因此,同一設(shè)備上的其他應(yīng)用程序可以訪問(wèn)該漏洞,”研究人員解釋說(shuō)。

         具體的漏洞和利用細(xì)節(jié)可在此處找到,但簡(jiǎn)而言之:如果攻擊者成功誘騙Ring用戶下載巧盡心思構(gòu)建的惡意應(yīng)用程序,該應(yīng)用程序可能會(huì)利用該漏洞獲取身份驗(yàn)證令牌和硬件ID,從而使攻擊者能夠通過(guò)多個(gè)Ring API訪問(wèn)客戶的RIng帳戶。

         這將允許他們過(guò)濾存儲(chǔ)在云中的受害者個(gè)人(姓名、電子郵件、電話號(hào)碼)和鈴聲設(shè)備數(shù)據(jù)(地理位置、地址和錄音)。

         但這還不是全部:該漏洞可能讓攻擊者從大量用戶那里獲取數(shù)百萬(wàn)條記錄,并在機(jī)器學(xué)習(xí)技術(shù)的幫助下,自動(dòng)發(fā)現(xiàn)敏感信息或材料。

         研究人員指出:“[Amazon]Rekognion可用于自動(dòng)分析這些記錄,并提取對(duì)惡意參與者有用的信息。Rekognation可掃描無(wú)限數(shù)量的視頻,并檢測(cè)對(duì)象、文本、面部和公眾人物等?!?。

     該漏洞已被修復(fù)

         好消息是,研究人員已私下向亞馬遜Ring開發(fā)團(tuán)隊(duì)報(bào)告了該漏洞,并在Ring移動(dòng)應(yīng)用程序的.51版本(3.51.0 Android5.51.0iOS)中修復(fù)了該漏洞。

         “根據(jù)我們的審查,沒(méi)有暴露任何客戶信息,”亞馬遜告訴研究人員,并補(bǔ)充說(shuō),“任何人都很難利用這個(gè)問(wèn)題,因?yàn)樗枰幌盗胁惶赡艿膹?fù)雜環(huán)境來(lái)執(zhí)行?!?/span>

         盡管如此,既然知識(shí)已經(jīng)公開,Ring用戶應(yīng)該檢查他們是否已經(jīng)升級(jí)到了應(yīng)用的固定版本,如果沒(méi)有,就立即升級(jí)。


    ×
    丰顺县| 吉木乃县| 罗平县| 正镶白旗| 望谟县| 繁昌县| 湟源县| 阿拉善右旗| 图木舒克市| 宁波市| 武隆县| 鹿邑县| 普宁市| 通河县| 弥渡县| 江西省| 尼玛县| 聂拉木县| 玛多县| 都兰县| 怀柔区| 东源县| 孝义市| 宁强县| 桂阳县| 龙川县| 家居| 江安县| 黎川县| 新和县| 五台县| 新源县| 康保县| 丘北县| 洛扎县| 永州市| 岳普湖县| 德兴市| 如东县| 镇江市| 东港市|