La aplicación de Android de Ring, la empresa propiedad de Amazon que ofrece timbres y cámaras de vigilancia para interiores y exteriores, tenía una vulnerabilidad que podría haber permitido a los actores de amenazas robar la identidad. (se abre en una pestaña nueva) datos que incluyen geolocalización y grabaciones de cámara.
Los investigadores de seguridad cibernética de Checkmarx encontraron la vulnerabilidad en la actividad com.ringapp/com.ring.nh.deeplink.DeepLinkActivity, y señalaron que esto estaba «exportado implícitamente en el Manifiesto de Android y, como tal, era accesible para otras aplicaciones en el mismo dispositivo». .
«Estas otras aplicaciones podrían ser aplicaciones maliciosas que se podría convencer a los usuarios para que instalen. Esta actividad aceptaría, cargaría y ejecutaría contenido web desde cualquier servidor, siempre que el URI de destino de la intención contuviera la cadena «/better-neighborhoods/».
Robo de datos confidenciales
En otras palabras, una aplicación maliciosa instalada en un dispositivo Android podría acceder a datos confidenciales generados por la aplicación Ring, no solo geolocalización y grabaciones de cámara, sino también nombres completos, correos electrónicos, números de teléfono y direcciones postales.
La aplicación Android Ring tiene más de 10 millones de descargas hasta el momento.
Checkmarx incluso fue un paso más allá, utilizando Rekognition (herramienta de análisis de imágenes y videos de aprendizaje automático) para automatizar el análisis del contenido de video robado y extraer información útil adicional, como rostros, texto, figuras públicas, información de pantallas de computadora, información sobre movimientos de personas, etc.
Checkmarx notificó a Amazon sobre la vulnerabilidad el 1 de mayo de este año, y menos de un mes después, el 27 de mayo, la empresa impulsó una solución. Por tanto, a partir de la versión .51 (3.51.0 para Android y 5.51.0 para iOS), la vulnerabilidad ha sido mitigada.
Amazon lo ha visto como un problema de alta gravedad y se movió rápidamente para emitir un parche. (se abre en una pestaña nueva).
“Emitimos una solución para los clientes de Android compatibles el 27 de mayo de 2022, poco después de que se procesara la presentación de los investigadores. Según nuestra revisión, no se expuso ninguna información del cliente. Este problema sería extremadamente difícil de explotar para cualquiera, porque requiere un conjunto de circunstancias poco probables y complejas para ejecutarlo”, concluyó la compañía.
- Aquí está nuestro resumen de los mejores videoporteros (se abre en una pestaña nueva) para dejarte ver y hablar con cualquiera que llegue a tu puerta