亞馬遜Ring安卓app漏洞可以訪問攝像頭記錄。

Ring 是亞馬遜運(yùn)行的家用安全環(huán)境產(chǎn)品，包含戶內(nèi)外監(jiān)控?cái)z像頭。其中Ring安卓APP下載次數(shù)超過1000萬次。Checkmarx 安全研究人員在亞馬遜Ring安卓APP中發(fā)現(xiàn)了一個(gè)安全漏洞，攻擊者利用該漏洞可以截取受害者手機(jī)中的個(gè)人數(shù)據(jù)、位置信息、和攝像頭記錄。

技術(shù)細(xì)節(jié)

該漏洞位于com.ringapp/com.ring.nh.deeplink.DeepLinkActivity中，該activity在安卓manifest中是導(dǎo)出的，因此可以被相同設(shè)備上的其他應(yīng)用訪問。這些應(yīng)用有可能是用戶安裝的惡意應(yīng)用。

該activity可以接受、加載、和執(zhí)行來自任意服務(wù)器的web內(nèi)容，因?yàn)閕ntent的目標(biāo)URL中包含字符串“/better-neighborhoods/”。研究人員用adb復(fù)制了有效的intent：

然后，攻擊者控制的web頁面就可以與WebView的JS接口進(jìn)行交互，其中子域名為“ring.com” 或 “a2z.com”。

研究人員在cyberchef.schlarpc.people.a2z.com上發(fā)現(xiàn)了一個(gè)反射性XSS漏洞，可以完成該攻擊鏈。利用該漏洞，攻擊者可以誘使受害者安裝可以觸發(fā)以下intent來完成攻擊的惡意應(yīng)用：

Payload會(huì)重定向WebView到惡意web頁面，該頁面可以訪問授予Authorization Token訪問權(quán)限的JS接口——__NATIVE__BRIDGE__.getToken()，然后攻擊者控制的服務(wù)器可以竊取Authorization Token。

Authorization Token是一個(gè)Java Web Token (JWT)，還不足以授權(quán)對(duì)Ring的多個(gè)API的調(diào)用。授權(quán)強(qiáng)制使用rs_session cookie。

但是該cookie可以通過調(diào)用https://ring.com/mobile/authorize加上有效的Authorization Token和對(duì)應(yīng)的設(shè)備硬件ID來獲得。研究人員發(fā)現(xiàn)，硬件ID也是硬編碼在token中的。

有了該token，就可能使用Ring API來提取用戶的個(gè)人數(shù)據(jù)，包括全名、郵件地址、手機(jī)號(hào)碼、以及其他Ring設(shè)備數(shù)據(jù)，比如地理位置、地址和錄像。具體來說，使用的API包括：

• https://acount.ring.com/account/control-center –用來獲取受害者的個(gè)人數(shù)據(jù)和設(shè)備ID
• https://account.ring.com/api/cgw/evm/v2/history/devices/{{DEVICE_ID}} – 用來獲取設(shè)備數(shù)據(jù)和錄像

為進(jìn)一步證明該漏洞的影響和危害性，研究人員證明了如何利用該服務(wù)來讀取敏感信息，以追蹤用戶的移動(dòng)。PoC視頻參見：https://youtu.be/eJ5Qsx4Fdks

漏洞影響

該漏洞影響Ring v .51版本，包括安卓的3.51.0版本和iOS的5.51.0版本。亞馬遜已于2022年5月27日修復(fù)了該漏洞。

本文翻譯自：https://checkmarx.com/resources/checkmarx-blog/amazon-quickly-fixed-a-vulnerability-in-ring-android-app-that-could-expose-users-camera-recordings