Introducción
Los investigadores de Checkmarx descubrieron que la aplicación Ring Android podría haber permitido que una aplicación maliciosa instalada en los teléfonos de los usuarios expusiera sus datos personales, geolocalización y grabaciones de cámara Ring de Amazon opera en el espacio de seguridad del hogar y fabrica productos que incluyen cámaras de vigilancia para interiores y exteriores. Su aplicación para Android ha sido descargada más de 10 millones de veces.
Detalles Tecnicos
La vulnerabilidad se encontró en la actividad com.ringapp/com.ring.nh.deeplink.DeepLinkActivity, que se exportó implícitamente en el manifiesto de Android y, como tal, era accesible para otras aplicaciones en el mismo dispositivo. Estas otras aplicaciones podrían ser aplicaciones maliciosas que podrían convencer a los usuarios para que las instalen.
Esta actividad aceptaría, cargaría y ejecutaría contenido web desde cualquier servidor, siempre que el URL de destino del Intent contuviera la cadena "/better-neighborhoods/".
Podríamos usar adb para replicar una intención válida:
La página web controlada por el atacante podría interactuar con las interfaces de JavaScript del WebView, siempre que se haya servido desde un subdominio "ring.com" o "a2z.com".
El equipo de Checkmarx pudo encontrar una vulnerabilidad de secuencias de comandos cruzados reflejados (XSS) en cyberchef.schlarpc.people.a2z.com, lo que les permitió completar esta cadena de ataque.
Conociendo esta vulnerabilidad, un atacante podría engañar a las víctimas para que instalen una aplicación maliciosa que desencadenó el siguiente intento de completar el ataque:
"NO SE ACCEDIÓ A CÁMARAS RING O VIDEO DE CONSUMIDORES REALES. Todo fue configuración de prueba y datos propios de Checkmarx".
Esta carga útil redirige el WebView a la página web maliciosa, con lo que puede acceder a la interfaz de JavaScript __NATIVE__BRIDGE__.getToken() otorgando acceso a un token de autorización, que luego podrá filtrarse a un servidor controlado por el atacante.
Este token es un Java Web Token (JWT), que no es suficiente para autorizar llamadas a las múltiples API de Ring. La autorización se aplica mediante una cookie rs_session.
Sin embargo, esta cookie se puede obtener llamando https://ring.com/mobile/authorize con un token de autorización válido más la identificación de hardware del dispositivo correspondiente.
Afortunadamente para nuestros investigadores, esta ID de hardware se codificó en el token.
Con esta cookie, fue posible usar las API de Ring para extraer los datos personales del cliente, incluidos el nombre completo, el correo electrónico y el número de teléfono, y los datos de su dispositivo Ring, incluida la geolocalización, la dirección y las grabaciones.
Más específicamente, se utilizaron las siguientes API:
https://acount.ring.com/account/control-center - utilizado para obtener la información de la víctima, datos personales e identificación del dispositivo
https://account.ring.com/api/cgw/evm/v2/history/devices/{{DEVICE_ID}}: se utiliza para obtener datos y grabaciones del dispositivo
Escalemos el ataque
Al observar una vulnerabilidad, con el potencial de que un atacante pueda obtener más vídeos de los que puede investigar, los investigadores decidieron ir un paso más allá utilizando tecnología de visión por computadora que es capaz de analizar videos. Usando Google Vision, Azure Computer Vision o cualquier otro servicio, pero se decidió optar por el excelente servicio Amazon Rekognition. Rekognition se puede utilizar para automatizar el análisis de estas grabaciones y extraer información que podría ser útil para los actores maliciosos.
Rekognition puede escanear una cantidad ilimitada de videos y detectar objetos, texto, rostros y figuras públicas, entre otras cosas.
Para demostrar aún más el impacto de esta vulnerabilidad, los investigadores mostraron cómo este servicio podría usarse para leer información confidencial de las pantallas de las computadoras y documentos visibles para las cámaras Ring y para rastrear los movimientos de las personas dentro y fuera de una habitación.
"NO SE ACCEDIÓ A CÁMARAS RING O VIDEO DE CONSUMIDORES REALES. Todo fue configuración de prueba y datos propios de Checkmarx".
Timeline
1 de mayo de 2022 - Resultados completos informados al Programa de Investigación de Vulnerabilidad de Amazon
1 de mayo de 2022 - Amazon confirmó haber recibido el informe
27 de mayo de 2022 - Amazon lanzó una corrección para los clientes en la versión .51 (3.51.0 Android, 5.51.0 iOS).
Respuesta de Amazon
Amazon consideró que se trataba de un problema de alta gravedad y lanzó una solución poco después de que se le informara: “Emitimos una solución para los clientes de Android el 27 de mayo de 2022, poco después de que se procesara la presentación de los investigadores. Según nuestra revisión, no se expuso ninguna información del cliente. Este problema sería extremadamente difícil de explotar para cualquiera, porque requiere un conjunto de circunstancias poco probables y complejas para ejecutarlo”.
Epílogo
Fue un placer colaborar de manera tan eficaz con el equipo de Amazon, que asumió la propiedad y fue profesional durante el proceso de divulgación y corrección. Por esta razón, y una gran experiencia de investigación, otorgamos al equipo de seguridad de Amazon el sello de aprobación de Checkmarx.
Y, como siempre, nuestro equipo de investigación de seguridad continuará enfocándose en formas de mejorar las prácticas de seguridad de las aplicaciones en todas partes.
No hay comentarios:
Publicar un comentario