Amazon corrige falha no Android que permitia invasão a câmeras inteligentes

A Amazon corrigiu uma vulnerabilidade crítica em seu aplicativo Ring, que serve para gerenciar os dispositivos de segurança e casa inteligente da marca. Na abertura, atacantes poderiam ter acesso às imagens salvas a partir das câmeras de segurança da linha, abrindo as portas para uma quebra grave na privacidade dos clientes, além de crimes como extorsão, furto de dados e roubo.

• Aprenda a proteger câmeras conectadas à web de invasões criminosas
• 10 aplicativos para monitorar a sua casa pelo celular

A vulnerabilidade de alta severidade foi relatada em maio pelos pesquisadores em segurança da Checkmarx, com a Amazon resolvendo a questão dias depois. A informação, porém, veio à público apenas agora, para dar tempo o suficiente para que os mais de 10 milhões de usuários do aplicativo Ring para Android, segundo os números da loja oficial Google Play, pudessem realizar o update da solução em seus celulares.

De acordo com os especialistas, o problema estava na exposição de atividades pelo app, que poderiam ser abertas em outro aplicativo instalado no smartphone. Uma manipulação maliciosa, então, poderia aproveitar esse fluxo de informações para obter os cookies de autenticação aos serviços da Amazon, bem como o ID dos aparelhos disponíveis nas casas dos clientes.

A exploração poderia acontecer, por exemplo, com um aplicativo malicioso liberado na loja oficial, que aproveitasse a brecha para obter as credenciais. Com essas informações, seria possível acessar a conta dos usuários para roubar dados pessoais como telefone, endereços, e-mail e nomes completos, além de visualizar as imagens das câmeras de segurança que estivessem hospedadas na nuvem.

Indo além na cadeia de exploração, a Checkmax fala ainda do uso de outra solução da própria Amazon, o Rekognition, para ampliar o ataque. O sistema de machine learning ajuda a localizar termos ou imagens específicas em grandes volumes de arquivos, podendo ser usado, neste ataque, para localizar indivíduos específicos ou termos determinados em documentos disponíveis na nuvem.

Não existem, entretanto, relatos de uso malicioso da abertura. Com a atualização já disponível, é pouco provável que isso aconteça, mas a recomendação aos usuários dos dispositivos Ring é para atualização do aplicativo dos dispositivos para Android, ação suficiente para resolver a questão. A Checkmarx também elogiou a Amazon pela rapidez no retorno e aplicação da correção, enquanto a própria empresa não se pronunciou publicamente sobre o assunto.

Fonte: Bleeping Computer