AmazonRingAndroid应用程序漏洞可以访问相机记录。Ring是亚马逊运营的家庭安全环境产品,包括室内和室外的监控摄像头。其中,RingAndroidAPP下载量已超过1000万次。Checkmarx安全研究人员在亚马逊的RingAndroid应用程序中发现了一个安全漏洞,攻击者可以利用该漏洞拦截受害者手机中的个人数据、位置信息和摄像头记录。技术细节该漏洞存在于com.ringapp/com.ring.nh.deeplink.DeepLinkActivity中,它在Android清单中导出,因此可以被同一设备上的其他应用程序访问。这些应用程序可能是用户安装的恶意应用程序。该活动可以接受、加载和执行来自任何服务器的Web内容,因为意图的目标URL包含字符串“/better-neighborhoods/”。研究人员使用adb复制了有效意图:攻击者控制的网页随后可以与WebView的JS接口进行交互,其中子域为“ring.com”或“a2z.com”。研究人员在cyberchef.schlarpc.people.a2z.com上发现了一个反射型XSS漏洞,该漏洞完成了攻击链。攻击者利用该漏洞,可诱使受害者安装恶意应用程序,该应用程序可触发以下意图完成攻击:Payload会将WebView重定向到恶意网页,该网页可访问授权访问权限的JS接口Token—__NATIVE__BRIDGE__.getToken(),那么攻击者控制的服务器就可以窃取AuthorizationToken。AuthorizationToken是一个JavaWebToken(JWT),它不足以授权调用Ring的多个API。授权强制使用rs_sessioncookie。但是可以通过使用有效的授权令牌和相应的设备硬件ID调用https://ring.com/mobile/authorize来获取cookie。研究人员发现硬件ID也硬编码在令牌中。有了这个令牌,就可以使用RingAPI提取用户的个人数据,包括全名、电子邮件地址、手机号码以及其他Ring设备数据,如地理位置、地址和视频记录。具体来说,使用的API包括:https://acount.ring.com/account/control-center——用于获取受害者的个人数据和设备IDhttps://account.ring.com/api/cgw/evm/v2/history/devices/{{DEVICE_ID}}–用于获取设备数据和视频记录为了进一步证明此漏洞的影响和严重性,研究人员演示了如何使用此服务读取敏感信息以跟踪用户移动。PoC视频见:https://youtu.be/eJ5Qsx4Fdks该漏洞影响Ringv.51版本,包括Android版本3.51.0和iOS版本5.51.0。亚马逊已于2022年5月27日修复该漏洞,本文翻译自:https://checkmarx.com/resources/checkmarx-blog/amazon-quickly-fixed-a-vulnerability-in-ring-android-app-that-可能会暴露用户的摄像机记录
