अमेज़ॅन रिंग भेद्यता का उपयोग उपयोगकर्ताओं की जासूसी करने के लिए किया जा सकता है
अमेज़ॅन ने भेद्यता को पैच किया है। रिंग एंड्रॉइड ऐप एप्लिकेशन सुरक्षा विशेषज्ञ शोधकर्ताओं के अनुसार, अनियंत्रित छोड़ दिया गया, यह वीडियो रिकॉर्डिंग और स्थान डेटा सहित रिंग उत्पाद मालिकों के व्यक्तिगत डेटा को उजागर कर सकता है। चेक मार्क्स.
20 मजबूत Checkmarx टीम द्वारा परीक्षण किया गया स्मार्ट कनेक्टेड उत्पाद निर्माताओं की एक विस्तृत श्रृंखला से हमेशा उपलब्ध है।
“मुख्य लक्ष्य यह प्रकट करना है कि उपभोक्ताओं के लिए हमले की सतह क्या है, हम उपभोक्ताओं के रूप में कितने उजागर हैं और क्या यह बैंकिंग उद्योग है। आईओटी [internet of things] चेकमार्क्स के सीईओ इमैनुएल बेंज़क्वेन ने कहा, “हमारे पास घर, कारों और यहां तक कि इलेक्ट्रिक स्कूटरों में भी दिलचस्प चीजें हैं।” “हमारी भूमिका जिम्मेदार प्रकटीकरण है।”
बाजार में सबसे लोकप्रिय कनेक्टेड घरेलू उपकरणों में से एक। अमेज़न की अंगूठी डोरबेल, घरेलू सुरक्षा कैमरे और विभिन्न बाह्य उपकरणों का एक सूट, साथ में एंड्रॉइड प्रबंधन एप्लिकेशन को 10 मिलियन से अधिक बार डाउनलोड किया गया है।
रिंग श्रृंखला जैसे IoT उपकरण बेंजाक्वेन के लिए दिलचस्प हैं, क्योंकि परिभाषा के अनुसार, वे अन्य उपकरणों के साथ संचार करते हैं। “जब भी आपके पास बहुत सारे उपकरण हों, तो आप एक प्राप्त कर सकते हैं जो दरारों के बीच फिट बैठता है,” उन्होंने कहा।
“दूसरे शब्दों में, एक एकल उत्पाद में एक स्टैंडअलोन भेद्यता बहुत कम जोखिम और अप्राप्य हो सकती है, लेकिन संचार के दृष्टिकोण से दूसरे उत्पाद के साथ संयुक्त, दोनों उत्पादों में दो निम्न-स्तरीय कमजोरियां। उत्पादों को इकट्ठा करने या बनाने के लिए अधिक शोषक कमजोरियां पैदा करता है। उन्हें संवाद ।”
प्रश्न में भेद्यता ऐसे परिदृश्य का एक अच्छा उदाहरण है। यह एंड्रॉइड मेनिफेस्ट में निहित रूप से निर्यात किया गया था और कुछ गतिविधियों में मौजूद था जिसे उसी डिवाइस पर अन्य एप्लिकेशन द्वारा एक्सेस किया जा सकता था, और अगर किसी उपयोगकर्ता को दुर्भावनापूर्ण एप्लिकेशन इंस्टॉल करने में धोखा दिया जा सकता है तो इसका फायदा उठाया जा सकता है।
शर्तों के एक विशिष्ट सेट के अधीन, आक्रमण श्रृंखला उपयोगकर्ता को एक दुर्भावनापूर्ण वेब पेज पर एक जावास्क्रिप्ट इंटरफ़ेस तक पहुंचने के लिए पुनर्निर्देशित करती है जो जावा वेब टोकन तक पहुंच प्रदान करती है और रिंग डिवाइस की हार्डवेयर आईडी (टोकन में हार्डकोड) तक पहुंच प्रदान करती है। – हमलावरों को नियंत्रित करने की अनुमति देता है प्रमाणीकरण कुकी और ग्राहक नाम, ईमेल और फोन नंबरों के साथ-साथ भौगोलिक स्थान, पता जैसे डेटा निकालने के लिए रिंग के एपीआई को तैनात करने के लिए इसका इस्तेमाल करते हैं, मैं वीडियो रिकॉर्डिंग जैसे रिंग डेटा निकालने में सक्षम था।
इसे स्थापित करने के साथ, Checkmarx टीम Amazon के साथ काम कर रही है मान्यता यह इन रिकॉर्डिंग का स्वचालित विश्लेषण करने और दुर्भावनापूर्ण हमलावरों के लिए उपयोगी जानकारी निकालने के लिए निकाले गए वीडियो डेटा पर कंप्यूटर विज़न तकनीक का उपयोग करता है। टीम ने नोट किया कि अन्य कंप्यूटर विज़न प्रौद्योगिकियां जैसे कि Google विज़न और एज़्योर कंप्यूटर विज़न भी काम करती हैं।
इस अतिरिक्त कदम का उपयोग करके, टीम रिंग कैमरे पर प्रदर्शित स्क्रीन या दस्तावेज़ों से संवेदनशील जानकारी पढ़ सकती है, घर के आसपास के लोगों को ट्रैक कर सकती है, और अनजाने में पीड़ित के रिंग डिवाइस का दुर्भावनापूर्ण उद्देश्यों के लिए शोषण कर सकती है। हमने आपको दिखाया कि इसे एक निगरानी उपकरण में कैसे बदलना है।
यह समस्या 1 मई, 2022 को Amazon के भेद्यता अनुसंधान कार्यक्रम में रिपोर्ट की गई थी, और इसे 27 मई, 2022 को ऐप संस्करण .51 (एंड्रॉइड के लिए 3.51.0 और iOS के लिए 5.51.0) में अपडेट किया गया था। द्वारा पुश किए गए अपडेट में फिक्स्ड। अमेज़ॅन का कहना है कि यह मुद्दा संभावित रूप से उच्च गंभीरता का है।
अमेज़ॅन के एक प्रवक्ता ने कहा, “शोधकर्ता के सबमिशन संसाधित होने के तुरंत बाद, हमने अपने समर्थित एंड्रॉइड ग्राहकों के लिए एक फिक्स जारी किया।
“हमारी समीक्षा के अनुसार, कोई ग्राहक जानकारी उजागर नहीं की गई थी। इसका फायदा उठाना बेहद मुश्किल होगा क्योंकि इसे निष्पादित करने के लिए परिस्थितियों के एक अप्रत्याशित और जटिल सेट की आवश्यकता होगी। “
Checkmarx टीम Amazon के साथ “बहुत प्रभावी ढंग से काम करने” से प्रसन्न थी।
भले ही इस विशेष भेद्यता का कभी शोषण नहीं किया गया हो और हमलावर के लिए शोषण करना मुश्किल होता, बेंज़क्वेन ने नोट किया कि कई संभावित कमजोरियां हैं जो समस्या पैदा कर सकती हैं। मैंने कहा कि मैं परिदृश्य देख सकता हूं। अमेज़ॅन की ब्रांडिंग को हाईजैक करने वाले फ़िशिंग ईमेल के माध्यम से उपयोगकर्ताओं को अपने स्मार्टफ़ोन पर दुर्भावनापूर्ण ऐप्स डाउनलोड करने के लिए यह काफी आश्वस्त करता है।
“इसके लिए लक्ष्य के साथ कुछ हद तक साझेदारी की आवश्यकता है,” बेंज़क्वेन कहते हैं। “मुझे एक दुर्भावनापूर्ण ऐप डाउनलोड करने का लक्ष्य प्राप्त करना है। यह बहुत आक्रामक लग सकता है, लेकिन जब मेरा फोन किसी बच्चे के हाथ में होता है, तो अगली सुबह, मुझे पता है कि कुछ बहुत ही रोचक चीजें हैं। मैंने नोटिस किया।”
जासूसी और लक्ष्य निगरानी का संचालन करने वाले निर्धारित राष्ट्र-राज्य खतरे वाले अभिनेताओं के खिलाफ हमले की श्रृंखला की उपयोगिता को भी कम करके नहीं आंका जाना चाहिए।
अधिक व्यापक रूप से, रिंग भेद्यता इस बात पर प्रकाश डालती है कि कनेक्टेड घरेलू उत्पादों के मालिकों के लिए स्वयं को बचाने के लिए अधिक सामान्य सावधानी बरतना कितना महत्वपूर्ण है।
“एक बार जब आप एक दुर्भावनापूर्ण एप्लिकेशन प्राप्त कर लेते हैं, तो आप अन्य हमलों को फैला सकते हैं,” बेंजाक्वेन ने कहा। “वह खतरनाक है।
“आपको सावधान रहना होगा कि लोगों को दुर्भावनापूर्ण एप्लिकेशन इंस्टॉल करने के लिए धोखा न दें, लेकिन इसके लिए थोड़ी शिक्षा की आवश्यकता होती है।
“आम तौर पर, मुझे लगता है कि आपको हमेशा इस बात से अवगत रहना चाहिए कि किसी भी चीज़ के साथ डिजिटल इंटरैक्शन के आसपास कुछ छायादार है, चाहे वह वेब पर हो या मोबाइल पर।”
बेंजाक्वेन कहते हैं: मेरी राय में एक और बहुत ही बुनियादी एक ऐसी चीज है जो गैर-मानक लगती है, जैसे कि किसी भी प्रकार का व्यक्तिगत डेटा मांगना। इस प्रकार की आवश्यकता बहुत सीमित है। दुर्भाग्य से, इसके लिए अंतिम उपयोगकर्ता से एक निश्चित मात्रा में जागरूकता और ध्यान की आवश्यकता होती है, लेकिन दुनिया ऐसी ही है। “
