A principios de este año, los investigadores de seguridad descubrieron una forma de acceder a las imágenes de la cámara de seguridad Ring de un cliente pirateando la aplicación de Android para el servicio.
El jueves, el proveedor de ciberseguridad Checkmarx reveló(Se abre en una nueva ventana) la falla después de que Ring, propiedad de Amazon, tuvo la oportunidad de solucionar el problema silenciosamente en mayo.
La vulnerabilidad involucraba una función en la aplicación de Android para cámaras Ring, específicamente en el proceso «com.ringapp/com.ring.nh.deeplink.DeepLinkActivity», al que podían acceder otras aplicaciones de Android en el mismo dispositivo. Esto allanó el camino para que una aplicación maliciosa instalada en el mismo teléfono Android secuestrara el acceso a la aplicación Ring.
Los investigadores de Checkmarx investigaron más y descubrieron que podían llevar a cabo el ataque. La aplicación de Android de Ring «aceptaría, cargaría y ejecutaría contenido web desde cualquier servidor, siempre que el URI de destino de Intent contuviera la cadena ‘/better-neighborhoods/'», escribió la compañía en una publicación de blog.
El ataque de prueba de concepto de Checkmarx utiliza una aplicación maliciosa de Android para cargar una página web que está manipulada para acceder y robar un token de autorización para el servicio Ring. Este token se puede usar para explotar las propias API de Ring para «extraer los datos personales del cliente, incluidos el nombre completo, el correo electrónico y el número de teléfono, y los datos de su dispositivo Ring, incluida la geolocalización, la dirección y las grabaciones».
La limitación del ataque es convencer a un cliente de Ring que usa un teléfono Android para instalar la aplicación maliciosa. Pero si un pirata informático puede lograr esto, entonces la información más privada del cliente puede quedar expuesta. Los investigadores de Checkmarx también llevaron su ataque de prueba de concepto más allá al mostrar cómo la propia tecnología de visión por computadora de Amazon, llamada Rekognition, podría usarse para ayudar a un atacante a filtrar rápidamente los videos de un cliente de Ring para encontrar las imágenes más sensibles.
Recomendado por Nuestros Editores
“Podríamos usar Amazon Rekognition para encontrar imágenes de documentos que tengan escritas las palabras ‘Alto secreto’ o ‘privado’”, dijeron los investigadores.
Afortunadamente, Ring emitió un parche el 27 de mayo, que debería aparecer como la versión 3.51.0 en la versión de Android de la aplicación. Además, le dijo a Checkmarx: “Según nuestra revisión, no se expuso información del cliente. Este problema sería extremadamente difícil de explotar para cualquiera, porque requiere un conjunto de circunstancias poco probables y complejas para ejecutarlo”.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.