亞馬遜Ring安卓app漏洞可以訪問攝像頭記錄。

Ring 是亞馬遜運行的家用安全環境產品，包含戶內外監控攝像頭。其中Ring安卓APP下載次數超過1000萬次。Checkmarx 安全研究人員在亞馬遜Ring安卓APP中發現了一個安全漏洞，攻擊者利用該漏洞可以截取受害者手機中的個人數據、位置信息、和攝像頭記錄。

技術細節

該漏洞位于com.ringapp/com.ring.nh.deeplink.DeepLinkActivity中，該activity在安卓manifest中是導出的，因此可以被相同設備上的其他應用訪問。這些應用有可能是用戶安裝的惡意應用。

該activity可以接受、加載、和執行來自任意服務器的web內容，因為intent的目標URL中包含字符串“/better-neighborhoods/”。研究人員用adb復制了有效的intent：

然后，攻擊者控制的web頁面就可以與WebView的JS接口進行交互，其中子域名為“ring.com” 或 “a2z.com”。

研究人員在cyberchef.schlarpc.people.a2z.com上發現了一個反射性XSS漏洞，可以完成該攻擊鏈。利用該漏洞，攻擊者可以誘使受害者安裝可以觸發以下intent來完成攻擊的惡意應用：

Payload會重定向WebView到惡意web頁面，該頁面可以訪問授予Authorization Token訪問權限的JS接口——__NATIVE__BRIDGE__.getToken()，然后攻擊者控制的服務器可以竊取Authorization Token。

Authorization Token是一個Java Web Token (JWT)，還不足以授權對Ring的多個API的調用。授權強制使用rs_session cookie。

但是該cookie可以通過調用https://ring.com/mobile/authorize加上有效的Authorization Token和對應的設備硬件ID來獲得。研究人員發現，硬件ID也是硬編碼在token中的。

有了該token，就可能使用Ring API來提取用戶的個人數據，包括全名、郵件地址、手機號碼、以及其他Ring設備數據，比如地理位置、地址和錄像。具體來說，使用的API包括：

• https://acount.ring.com/account/control-center –用來獲取受害者的個人數據和設備ID
• https://account.ring.com/api/cgw/evm/v2/history/devices/{{DEVICE_ID}} – 用來獲取設備數據和錄像

為進一步證明該漏洞的影響和危害性，研究人員證明了如何利用該服務來讀取敏感信息，以追蹤用戶的移動。PoC視頻參見：https://youtu.be/eJ5Qsx4Fdks

漏洞影響

該漏洞影響Ring v .51版本，包括安卓的3.51.0版本和iOS的5.51.0版本。亞馬遜已于2022年5月27日修復了該漏洞。

本文翻譯自：https://checkmarx.com/resources/checkmarx-blog/amazon-quickly-fixed-a-vulnerability-in-ring-android-app-that-could-expose-users-camera-recordings