L’application Android de Ring, la société appartenant à Amazon qui propose des sonnettes et des caméras de surveillance intérieures et extérieures, présentait une vulnérabilité qui aurait pu permettre aux acteurs de la menace de voler leur identité (s’ouvre dans un nouvel onglet) données, y compris la géolocalisation et les enregistrements de caméras.
Les chercheurs en cybersécurité de Checkmarx ont découvert la vulnérabilité dans l’activité com.ringapp/com.ring.nh.deeplink.DeepLinkActivity, notant qu’elle était « implicitement exportée dans le manifeste Android et, en tant que telle, était accessible à d’autres applications sur le même appareil .
« Ces autres applications pourraient être des applications malveillantes que les utilisateurs pourraient être convaincus d’installer. Cette activité accepterait, chargerait et exécuterait du contenu Web à partir de n’importe quel serveur, tant que l’URI de destination de l’intention contenait la chaîne « /better-neighborhoods/ ».
Voler des données sensibles
En d’autres termes, une application malveillante installée sur un appareil Android pourrait accéder aux données sensibles générées par l’application Ring, non seulement la géolocalisation et les enregistrements de caméra, mais également les noms complets, les e-mails, les numéros de téléphone et les adresses postales.
L’application Android Ring compte plus de 10 millions de téléchargements à ce jour.
Checkmarx est même allé plus loin en utilisant Rekognition (outil d’analyse d’images et de vidéos d’apprentissage automatique) pour automatiser l’analyse du contenu vidéo volé et extraire des informations utiles supplémentaires, telles que des visages, du texte, des personnalités publiques, des informations sur des écrans d’ordinateur, des informations sur mouvements de population, etc.
Checkmarx a informé Amazon de la vulnérabilité le 1er mai de cette année, et moins d’un mois plus tard, le 27 mai, la société a proposé un correctif. Par conséquent, à partir de la version .51 (3.51.0 pour Android et 5.51.0 pour iOS), la vulnérabilité a été atténuée.
Amazon l’a considéré comme un problème de haute gravité et a agi rapidement pour publier un correctif (s’ouvre dans un nouvel onglet).
« Nous avons publié un correctif pour les clients Android pris en charge le 27 mai 2022, peu après le traitement de la soumission des chercheurs. Sur la base de notre examen, aucune information client n’a été exposée. Ce problème serait extrêmement difficile à exploiter pour quiconque, car il nécessite un ensemble de circonstances improbables et complexes à exécuter », a conclu la société.
- Voici notre aperçu des meilleures sonnettes vidéo (s’ouvre dans un nouvel onglet) pour vous permettre de voir et de parler à toute personne qui se présente à votre porte