Amazon ha reparado una vulnerabilidad en la aplicación Ring para Android que, si no se controlaba, tenía el potencial de exponer los datos personales de los propietarios de productos Ring, incluidas sus grabaciones de video y datos de ubicación, según los investigadores del especialista en seguridad de aplicaciones Checkmarx.
El equipo de 20 miembros de Checkmarx prueba productos inteligentes y conectados todo el tiempo de una amplia gama de fabricantes.
“El objetivo principal es realmente descubrir cuál es la superficie de ataque para el consumidor, qué tan expuestos estamos como consumidores, ya sea en la industria bancaria, el IoT [internet of things] dispositivos que tenemos en nuestros hogares, nuestros automóviles, incluso e-scooters, hemos encontrado algunas cosas interesantes allí”, dijo el CEO de Checkmarx, Emmanuel Benzaquen. “Nuestro papel es la divulgación responsable”.
Una de las gamas más extendidas de dispositivos domésticos conectados en el mercado, Ring by Amazon es un conjunto de timbres, cámaras de seguridad para el hogar y varios periféricos, y la aplicación de administración de Android que lo acompaña se ha descargado más de 10 millones de veces.
Los dispositivos IoT como la gama Ring son interesantes para Benzaquen porque, por definición, se comunican con otros dispositivos. “Cada vez que tiene una cantidad de dispositivos, puede tener algo que se queda entre las grietas”, dijo.
“En otras palabras, una vulnerabilidad independiente puede no ser explotable con un riesgo muy bajo en un solo producto, pero combinada con otro producto desde el punto de vista de las comunicaciones, dos vulnerabilidades de bajo nivel en ambos productos crean una vulnerabilidad más explotable que no puede ver hasta pones los productos juntos o haces que se comuniquen”.
La vulnerabilidad en cuestión es un buen ejemplo de tal escenario. Existía en una actividad específica que se exportaba implícitamente en el manifiesto de Android y era accesible para otras aplicaciones en el mismo dispositivo y, por lo tanto, explotable si se podía engañar al usuario para que instalara una aplicación maliciosa.
Sujeto a un conjunto específico de condiciones, la cadena de ataque habría redirigido al usuario a una página web maliciosa para acceder a una interfaz de JavaScript que otorgaba acceso a un token web de Java que, cuando se combinaba con el ID de hardware del dispositivo Ring, que estaba codificado en el token. – Permitió que un atacante obtuviera el control de una cookie de autorización que, a su vez, podría usarse para implementar las API de Ring para extraer datos, incluidos los nombres de los clientes, correos electrónicos y números de teléfono, y datos de Ring, incluida la geolocalización, la dirección de la calle y las grabaciones de video.
Una vez establecido esto, el equipo de Checkmarx implementó la tecnología de visión por computadora Rekognition de Amazon contra los datos de video extraídos para realizar un análisis automatizado de estas grabaciones y extraer información que los actores malintencionados podrían encontrar útil. El equipo señaló que otras tecnologías de visión artificial, como Google Vision o Azure Computer Vision, también habrían funcionado.
El equipo demostró cómo este paso adicional podría usarse para leer información confidencial de pantallas o documentos visibles para las cámaras Ring y rastrear a las personas alrededor de sus hogares, transformando de hecho el dispositivo Ring de la víctima involuntaria en una herramienta de vigilancia maliciosa.
El problema se informó al Programa de investigación de vulnerabilidades de Amazon el 1 de mayo de 2022 y se solucionó en una actualización enviada el 27 de mayo de 2022 en la versión .51 de la aplicación (3.51.0 para Android, 5.51.0 para iOS). Amazon dijo que el problema era potencialmente de gran gravedad.
“Emitimos una solución para los clientes de Android compatibles poco después de que se procesara la presentación de los investigadores”, dijo un portavoz de Amazon.
“Según nuestra revisión, no se expuso ninguna información del cliente. Este problema sería extremadamente difícil de explotar para cualquiera, porque requiere un conjunto de circunstancias poco probables y complejas para ejecutarlo”.
El equipo de Checkmarx dijo que había sido un placer “colaborar tan eficazmente” con Amazon, que rápidamente se hizo cargo y fue responsable y profesional durante todo el proceso de divulgación y remediación.
Aunque esta vulnerabilidad específica nunca se explotó y habría sido difícil para un atacante aprovecharla, Benzaquen dijo que podía ver varios escenarios potenciales en los que podría haberse vuelto problemático; en este caso, el medio inicial de compromiso probablemente habría sido a través de un correo electrónico de phishing, tal vez incorporando la marca de Amazon secuestrada, lo suficientemente convincente como para engañarlos para que descarguen una aplicación maliciosa en sus teléfonos inteligentes.
“Requiere un nivel de asociación con un objetivo”, dijo Benzaquen. “Tienes que hacer que el objetivo descargue una aplicación maliciosa, lo que puede sonar muy agresivo, pero puedo decirte que cuando mi teléfono llega a las manos de mis hijos, lo encuentro a la mañana siguiente con algunas cosas muy interesantes. ”
Tampoco se debe subestimar la utilidad de la cadena de ataque para un determinado actor de amenazas de un estado-nación que realiza espionaje o vigilancia de sus objetivos.
En términos más generales, la vulnerabilidad de Ring destaca la importancia de que los propietarios de productos para el hogar conectado tomen precauciones más generales para protegerse.
“Una vez que tienes una aplicación maliciosa, puedes propagar otros ataques”, dijo Benzaquen. Ése es el peligro.
“Debemos tener cuidado para asegurarnos de que no nos dejemos engañar para instalar aplicaciones maliciosas, y eso requiere un poco de educación.
“En términos generales, creo que siempre debemos estar al tanto de cualquier cosa sospechosa en nuestra interacción digital con cualquier cosa, ya sea en la web, en nuestro móvil, etc.”.
Benzaquen agregó: “Tanto la compra de proveedores conocidos como la descarga de fuentes conocidas son buenos reflejos para construir. Otro que creo que es muy fundamental es cualquier cosa que parezca fuera de lo normal, como pedir datos privados de cualquier tipo; hay una necesidad muy, muy limitada de este tipo de cosas. Desafortunadamente, requiere un nivel de conciencia y alerta por parte del usuario final, pero así es el mundo”.
