La nouvelle vulnérabilité Amazon Ring aurait pu exposer tous vos enregistrements de caméra


Le géant de la vente au détail Amazon a corrigé un problème de sécurité très grave dans son application Ring pour Android en mai qui aurait pu permettre à une application malveillante installée sur l’appareil d’un utilisateur d’accéder à des informations sensibles et à des enregistrements de caméra.

L’application Ring pour Android compte plus de 10 millions de téléchargements et permet aux utilisateurs de surveiller les flux vidéo à partir d’appareils domestiques intelligents tels que les sonnettes vidéo, les caméras de sécurité et les systèmes d’alarme. Amazon a acquis le fabricant de sonnettes pour environ 1 milliard de dollars en 2018.

Société de sécurité des applications Checkmarx expliqué il a identifié une faille de script intersite (XSS) qui, selon lui, pourrait être militarisée dans le cadre d’une chaîne d’attaque pour inciter les victimes à installer une application malveillante.

La cyber-sécurité

L’application peut ensuite être utilisée pour obtenir le jeton d’autorisation de l’utilisateur, qui peut ensuite être exploité pour extraire le cookie de session en envoyant ces informations avec l’ID matériel de l’appareil, qui est également codé dans le jeton, au point de terminaison “ring[.]com/mobile/autoriser.”

Armé de ce cookie, l’attaquant peut se connecter au compte de la victime sans avoir à connaître son mot de passe et accéder à toutes les données personnelles associées au compte, y compris le nom complet, l’adresse e-mail, le numéro de téléphone et les informations de géolocalisation ainsi que les enregistrements de l’appareil.

Ceci est réalisé en interrogeant les deux points finaux ci-dessous –

  • compte.ring[.]com/account/control-center – Obtenir les informations personnelles de l’utilisateur et l’ID de l’appareil
  • compte.ring[.]com/api/cgw/evm/v2/history/devices/DEVICE_ID – Accéder aux données et enregistrements de l’appareil Ring
La cyber-sécurité

Checkmarx a déclaré avoir signalé le problème à Amazon le 1er mai 2022, après quoi un correctif a été mis à disposition le 27 mai dans la version 3.51.0. Rien ne prouve que le problème ait été exploité dans des attaques réelles, Amazon qualifiant l’exploit d'”extrêmement difficile” et soulignant qu’aucune information client n’a été exposée.

Le développement intervient plus d’un mois après que la société a décidé de remédier à une grave faiblesse affectant son application Photos pour Android qui aurait pu être exploitée pour voler les jetons d’accès d’un utilisateur.



ttn-fr-57