如果您使用亚马逊的Ring 门铃或安全摄像头并通过 Ring Android 应用程序控制它们,您可能需要立即检查该应用程序的更新。该公司最近修补了该应用程序中的一个重大安全漏洞,该漏洞可能会将视频片段泄露给远程攻击者。该错误已在 5 月下旬使用该应用程序的 3.51.0 版本进行了修补。
软件安全公司 Checkmarx 的研究人员在 Ring Android 应用程序中发现了该漏洞。据该公司称,该应用程序中的错误允许同一设备上的其他应用程序访问其内容。除了视频记录和地理位置,它还可能泄露用户的个人信息,包括全名、电子邮件、电话号码和地址。
虽然受信任应用程序的开发人员不会试图利用此漏洞,但不良行为者可能会诱骗用户安装恶意应用程序并获得对Ring 应用程序内容的访问权限。这可能导致毁灭性的攻击。通过访问摄像头,攻击者不仅可以看到房屋内人员的活动,还可以访问摄像头记录的敏感信息。例如,摄像头可能会记录某人在手机或电脑屏幕上输入他们的登录凭证或支付信息。
亚马逊已经在 Ring Android 应用程序中修复了这个漏洞
Checkmarx 于 5 月 1 日向亚马逊报告了这一发现。该公司迅速回应确认收到该报告,并承认这是一个高严重性问题。5 月 27 日,它发布了一个补丁来修复 Ring Android 应用程序中的漏洞。亚马逊在官方声明中表示,没有证据表明有人利用此漏洞未经授权访问客户信息或视频片段。
该公司进一步补充说,该漏洞极难利用。亚马逊表示,它需要“一系列不太可能且复杂的情况才能执行” 。但它仍然对全球数百万人构成重大威胁。该应用程序在 Google Play 商店的下载量已超过一千万。
值得庆幸的是,补丁发布已经三个月了。所以大多数 Ring 客户可能已经安装了新版本的应用程序(v3.51.0 或更高版本)。但是,如果您禁用了自动更新并且在过去几个月内没有手动更新 Ring 应用程序,您可能仍然容易受到它的影响。因此,请务必立即检查更新。