MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Les chercheurs de Checkmarx ont découvert une faille de haute gravité dans l’application Android de Amazon Ring. Cette faille aurait pu permettre à une application malveillante installée sur le téléphone d’espionner son utilisateur, exposant ses données personnelles, sa géolocalisation et ses enregistrements vidéo.
Evoluant dans le domaine de la domotique et de la sécurité domestique, Ring by Amazon permet l’accès aux sonnettes et caméras de surveillance extérieures et intérieures connectées de la marque. Des millions de caméra Ring sont aujourd’hui en activité à travers le monde aussi bien au niveau domestique que professionnel. L’application Android a été téléchargée plus de 10 millions de fois sur le Play Store de Google.
Les chercheurs Checkmarx ont constaté qu’en utilisant une application malveillante, il était possible de prendre le contrôle de l’application Ring, dérober des informations (nom, e-mail et même déduire l’adresse du domicile de l’utilisateur), ainsi que ses fichiers vidéo stockés dans le cloud. La vulnérabilité a été détectée dans l’activité com.ringapp/com.ring.nh.deeplink.DeepLinkActivity, exportée dans le manifeste Android et était accessible, en tant que telle, à d’autres applications sur le même appareil.
Si ces applications additionnelles étaient des applications malveillantes, elles auraient pu, une fois installées, avoir accès à des millions de vidéos d’utilisateurs Ring ainsi qu’à leurs données personnelles. En utilisant la puissance des technologies de Machine Learning intégrées à Amazon Rekognition, les chercheurs ont identifié un moyen très rapide pour les acteurs malveillants d’automatiser l’analyse des enregistrements vidéo pour y extraire des informations utiles. Rekognition peut en effet scanner un nombre illimité de vidéos et y détecter des objets, du texte, des visages et des personnalités publiques, etc.
Ce service pourrait être utilisé à des fins de lecture d’informations sensibles à partir d’écrans d’ordinateurs et de documents visibles par les caméras Ring ainsi que pour le suivi des mouvements de personnes à l’intérieur et à l’extérieur d’une pièce. Par exemple, pour rechercher une vidéo d’un coffre-fort, qui donnerait également son emplacement et son code secret ou trouver des images de documents sur lesquels seraient écrits les mots « Top secret », « mot de passe » ou « privé ». Ou dans un scénario encore plus noir, rechercher les images d’enfants isolés.
Amazon a considéré qu’il s’agissait d’un problème de gravité élevée et a publié un correctif peu de temps après son signalement : « Nous avons déployé un correctif pour les clients Android le 27 mai 2022, peu de temps après le traitement de la découverte des chercheurs. D’après notre examen, aucune information client n’a été exposée. Cette faille serait extrêmement difficile à exploiter pour quiconque, car elle nécessite un ensemble improbable et complexe de circonstances pour être exécutée ».
