Un investigador de seguridad pudo encontrar una falla en la aplicación Amazon Ring que podría llevar a los piratas informáticos a espiar a las personas. Los piratas informáticos podrían utilizar este exploit para poder ver grabaciones guardadas.
La vulnerabilidad de la aplicación Amazon Ring se clasificó como de “alta gravedad”
Según el relato de La guía de Tom, una vulnerabilidad de la aplicación Amazon Ring que se clasificó como de alta gravedad podría haber dado a los piratas informáticos acceso a datos críticos. Los piratas informáticos podrían haber aprovechado la vulnerabilidad para espiar las grabaciones de la cámara guardadas.
Aunque la vulnerabilidad ya ha sido solucionada, un informe de Computadora que suena señala que la vulnerabilidad fue encontrada por primera vez por el investigador de seguridad de Checkmarx. Luego, la compañía se apresuró a compartir lo que encontraron con Amazon.
La aplicación Ring obtuvo diez millones de descargas en todo el mundo, lo que significa que la extensión de la vulnerabilidad podría ser extremadamente amplia
La aplicación Ring ya se ha descargado más de diez millones de veces y se ha utilizado en todo el mundo. Debido a su popularidad, la vulnerabilidad es bastante preocupante ya que no hubo informes sobre hasta qué punto los piratas informáticos pudieron acceder a ella.
Según Tom’s Guide, los usuarios que aún no han actualizado recientemente su aplicación Android Ring deben continuar e instalar la última versión para poder evitar que los piratas informáticos puedan acceder a las grabaciones guardadas de las cámaras de seguridad de los usuarios.
La vulnerabilidad de la aplicación Ring podría quedar expuesta por otras aplicaciones en el dispositivo del propietario
jaquemarx publicó una publicación de blog que detalla sus hallazgos. Los investigadores explicaron que lo que encontraron dentro de la aplicación Ring para Android fue que podía exponer la actividad que podría iniciar cualquier otra aplicación instalada en el dispositivo del propietario.
La actividad en cuestión era específicamente com.ringapp/com.ringnh.deeplink.DeppLinkActivity y estaba expuesta dentro del manifiesto de la aplicación, lo que permitía que otras aplicaciones instaladas la iniciaran fácilmente.
Los investigadores pudieron evitar las restricciones al encontrar una vulnerabilidad XSS
Al iniciar la actividad, los investigadores de Checkmarx pudieron descubrir que podrían configurar un servidor web para interactuar con él. Sin embargo, sólo las páginas web de los dominios ring.com o a2z.com pudieron interactuar con él.
Luego, los investigadores eludieron las restricciones al encontrar una vulnerabilidad llamada cross-site scripting XSS. Luego, los investigadores explotaron la vulnerabilidad para obtener la cookie de inicio de sesión de Ring.
Las aplicaciones maliciosas podrían utilizar el exploit para proporcionar acceso a los datos de la aplicación Amazon Ring de los usuarios
Cuando los investigadores tuvieron acceso a una cookie de inicio de sesión de Ring, pudieron utilizar las API de Ring para obtener acceso a los datos personales de los clientes. Los datos incluían correos electrónicos, números de teléfono, nombres completos y datos de dispositivos procedentes de sus productos Ring.
Los datos que pudieron obtener de los productos Ring incluyeron la dirección, la geolocalización y las grabaciones guardadas del propietario. Según Tom’s Guide, los atacantes podrían haber creado una aplicación maliciosa y haberla subido a Play Store para enviarles las cookies de autenticación del cliente de Ring.
ⓒ 2023 . .
