Израильские эксперты по кибербезопасности обнаружили уязвимость в популярном дверном звонке Ring от Amazon, которая может привести к несанкционированному доступу к данным злоумышленниками.
Исследователи из офиса звонке Ringобнаружили уязвимость между облачным сервисом дверного звонка и мобильным приложением Ring, которое позволяет хакерам получить доступ к незашифрованной передаче аудио и видеозаписей.
Amazon, которая приобрела видео-домофон в апреле 2018 года, утверждает, что исследования, проведенные компанией и полицейскими силами в США, показывают, что в районах, оборудованных их продуктами, произошло снижение числа краж со взломом на 50%.
В ходе демонстрации на прошлой неделе на Всемирном конгрессе мобильных устройств в Барселоне, Йосси Атиас, генеральный менеджер по безопасности IoT (Internet of Things), продемонстрировал, как компания может изменить видеопоток, чтобы конечный пользователь «поверил», что он видит человека, которого он знает и впускал ранее.
Ring является уважаемым брендом IoT, однако уязвимость, обнаруженная нами в видеодомофоне, показывает, что даже высокозащищенные устройства уязвимы для атак
Компания заявила, что им удалось получить доступ к трафику между облаком и приложением «без труда».
Эта конкретная уязвимость является очень опасной, поскольку она находится между облаком и мобильным приложением Ring, и ее используют, когда владелец Ring находится вдали от дома. Это означает, что лицо, доставляющее посылку, уборщица или няня, на самом деле может быть совершенно посторонним человеком. Если человек, которого как вы думаете вы знаете, на самом деле не является им, то это может привести к печальным последствиям, особенно когда дома находятся дети.
Если пользователь Ring находился дома, хакеры могли воспользоваться этой уязвимостью, взломав слабое шифрование домашней сети Wi-Fi или воспользовавшись уязвимостью других умных устройств, которые так же работает через WiFi.
Если пользователь находился за пределами дома, хакеры могли создавать открытые точки доступа Wi-Fi рядом с владельцем и ждать, пока они присоединятся к одной из них.
В дополнение к изменению видео-потока хакеры могут также шпионить через дверной звонок, позволяя собирать информацию, например, ваши домашние привычки и детали о членах вашей семьи.
Безопасность настолько же сильна, как и ее самое слабое звено. При обработке конфиденциальных данных, таких как видеодомофон, безопасная передача данных - это не особенность, а необходимость, особенно потому, что обычный потребитель не подозревает о каких либо вмешательствах в работу систем.
Исследователи заявили, что эта уязвимость была обнаружена в ходе рутинного процесса этического взлома компании с целью изучения недостатков в различных устройствах IoT и улучшения платформы кибер-безопасности, для защиты умных домов и подключенных к ним устройств.
С момента своего открытия Amazon выпустила новую версию мобильного приложения Ring, исправляя уязвимость и предотвращая повторение атаки.