Atlanta merkezli küresel bir yazılım güvenliği şirketi olan Checkmarx, Ring Android uygulamasında, kullanıcının telefonuna yüklenen kötü amaçlı bir uygulamanın kişisel verilerini, coğrafi konumlarını ve kamera kayıtlarını açığa çıkarmasına izin verebilecek bir güvenlik açığı gözlemledi.
Amazon’un Ring App’i 100 milyondan fazla indirildi ve ev güvenliği alanında faaliyet gösteriyor ve dış mekan ve iç mekan gözetleme kameralarını içeren ürünler üretiyor.
Ring Android Uygulamasında Güvenlik Açığı
Güvenlik açığı, Android için Ring kapı zili uygulaması değerlendirilirken keşfedildi. Checkmarx araştırmacıları com’daki güvenlik açığını buldu[.]ringapp/com.ring.nh[.]deeplink.DeepLinkActivity etkinliği, Android Manifest’te dolaylı olarak dışa aktarıldı ve bu nedenle, kullanıcıların yüklemeye ikna edebilecekleri kötü amaçlı uygulamalara erişilebiliyordu.
Özellikle araştırmacılar, Yansıtılan Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığının, kurbanları kötü amaçlı bir uygulama yüklemeye tuzağa düşürmek için bir saldırı zincirinin parçası olarak silahlandırılabileceğini buldu. Bu uygulama, cihazın Yetkilendirme Simgesini verebilir ve cihazın donanım kimliğiyle birlikte bilgileri bu uç noktaya (ringcom/mobile/yetkilendirme) göndererek oturum çerezini çıkarabilir.
Bu durumda, kurban, saldırganın kimlik doğrulama çerezleri toplamasına izin veren kötü amaçlı uygulamayı yüklemesi için kandırılır. Bu tanımlama bilgileri, saldırganın parola girmeden bir kullanıcının hesabına erişmesine olanak tanır.
Aşağıdaki API’ler Kullanıldı
- https://hesap[.]ring.com/account/control-center – kurbanın kişisel verilerini ve cihaz kimliğini almak için kullanılır
- https://hesap[.]ring.com/api/cgw/evm/v2/history/devices/{{DEVICE_ID}} – cihaz verilerini ve kayıtlarını almak için kullanılır
“O zaman, tam ad, e-posta ve telefon numarası dahil olmak üzere müşterinin kişisel verilerini ve coğrafi konum, adres ve kayıtlar dahil olmak üzere Ring cihazının verilerini çıkarmak için Ring’in API’lerini kullanmak mümkün oldu”, Checkmarx
Raporlar, kötü niyetli aktörün, ev sahiplerinin odalarındaki veya oturdukları binadaki faaliyetlerini takip edebilmesinin de mümkün olduğunu söylüyor.
Checkmarx bu sorunu 1 Mayıs 2022’de bildirdi, Amazon bunu yüksek önemde bir sorun olarak değerlendirdi ve bildirildikten hemen sonra bir düzeltme yayınladı.“Araştırmacıların gönderimi işleme koyulduktan hemen sonra, 27 Mayıs 2022’de desteklenen Android müşterileri için bir düzeltme yayınladık. İncelememize göre, hiçbir müşteri bilgisi açığa çıkmadı. Bu sorundan herhangi birinin yararlanması son derece zor olacaktır, çünkü yürütülmesi olası olmayan ve karmaşık bir dizi koşul gerektirir.”
Ayrıca Okuyun: Uzaktan Çalışanların Yükselişi: Ağınızın Güvenliğini Sağlamak İçin Bir Kontrol Listesi – Ücretsiz E-Kitap İndirin