Das zu Amazon gehörende Unternehmen Ring hat im Mai stillschweigend eine Sicherheitslücke mit „hohem Schweregrad“ behoben, die es böswilligen Akteuren ermöglicht haben könnte, auf Kameraaufzeichnungen von Ring-Videotürklingeln zuzugreifen und die persönlichen Daten der Benutzer zu extrahieren.
Forscher des in Atlanta ansässigen Unternehmens für Anwendungssicherheit Checkmarx entdeckten den Fehler bei der Analyse der Ring-App für Android. Diese App ermöglicht es Benutzern, auf Video-Türklingeln und Sicherheitskameras aufgezeichnetes Filmmaterial zu überwachen, und wurde mehr als 10 Millionen Mal heruntergeladen.
Die Forscher gefunden dass die App mehrere Fehler aufwies, die es Angreifern ermöglicht hätten, die Schwachstelle auszunutzen, indem sie eine bösartige App erstellten und veröffentlichten – oder ein Update für eine vorhandene App – die auf demselben Gerät ausgeführt wurde. Wenn ein potenzielles Opfer dazu verleitet wird, eine bösartige App zu installieren, würde dies den Angreifern ermöglichen, Authentifizierungscookies zu erhalten, bei denen es sich um kleine Dateien handelt, mit denen ein Benutzer dauerhaft angemeldet bleibt, ohne ständig seine Passwörter erneut eingeben zu müssen.
Mit diesen Cookies könnte ein Angreifer ohne Passwort auf das Konto eines Benutzers zugreifen, wodurch die böswillige App den vollständigen Namen, die E-Mail-Adresse und die Telefonnummer eines Ring-Benutzers sowie Ring-Gerätedaten wie Kameraaufzeichnungen und Geolokalisierungsdaten stehlen könnte.
Checkmarx sagte, dass erfolgreiche Angreifer selbst mehr Informationen aus den Aufzeichnungen der Ring-Kamera extrahieren könnten, wie Informationen in Dokumenten oder auf Computerbildschirmen, die für eine Ring-Kamera sichtbar sind, oder um die Bewegungen von Personen in und aus Räumen oder Gebäuden zu verfolgen.
Ring hat das Problem am 27. Mai in Version 3.51.0 der Ring Android App behoben und Checkmarx mitgeteilt, dass keine Kundendaten offengelegt wurden. Als sie erreicht wurde, bestätigte Ring-Sprecherin Claudia Fellerman gegenüber Tech, dass Ring die Schwachstelle behoben hat.
Ring wurde 2018 von Amazon für etwa 1 Milliarde US-Dollar übernommen. Der Hersteller von Video-Türklingeln hat seitdem seine Partnerschaften mit Strafverfolgungsbehörden auf mehr als 2.200 Polizeidienststellen in den USA ausgeweitet, sodass die Polizei Aufnahmen von Hausbesitzern mit Video-Türklingeln anfordern kann. Ring hat im vergangenen Jahr eine Rekordmenge an Benutzerdaten und Kundenvideoaufzeichnungen an die Behörden weitergegeben und im Jahr 2022 bisher elf Mal ohne Zustimmung des Kontoinhabers Aufnahmen von Kunden mit der Polizei geteilt.
Anfang dieses Jahres enthüllte Tech eine Sicherheitslücke in der Ring’s Neighbors-App, bei der die genauen Standorte und Privatadressen von Benutzern offengelegt wurden, die in der App gepostet hatten.