Problemy Amazona z kamerami

Badacze, korzystając z usługi analizy obrazu i wideo firmy Amazon Rekognition, aby zautomatyzować analizę nagrań wykonanych z kamer pierścieniowych pokazali, w jaki sposób atakujący może znaleźć poufne dane z ekranów lub dokumentów i śledzić ruchy ludzi w pomieszczeniu monitorowanym przez kamerę pierścieniową.

Luka została zgłoszona Amazonowi za pośrednictwem programu bug bounty 1 maja, a aktualizacja aplikacji na Androida, która łata lukę, została wydana 27 maja.

„Poważnie traktujemy bezpieczeństwo naszych urządzeń i usług i doceniamy pracę niezależnych badaczy. W maju, wkrótce po przetworzeniu zgłoszenia przez badaczy, wprowadziliśmy poprawkę dla obsługiwanych klientów Androida. Na podstawie naszej recenzji nie ujawniono żadnych informacji o klientach” – powiedział rzecznik Ringa dla SecurityWeek.

Nie jest to pierwszy raz, kiedy hakerzy atakują produkty Ring. Amazon miał nawet do czynienia z procesami sądowymi Klientów, którym zhakowano kamery. Na kapitanie hacku pisaliśmy o innych możliwościach hakowania produktów Amazona tutaj.

Warto może przy tej okazji przypomnieć sprawę sprzed dwóch lat. W 2020 roku badacze odkryli, że Ring zawiera moduły śledzące i wysyła dużą ilość informacji umożliwiających identyfikację osoby (PII). Sprawę upubliczniła Electronic Frontier Foundation (EFF).

Według EFF aplikacja Ring wysyłał dane użytkowników do czterech głównych firm analitycznych i marketingowych, a mianowicie branch.io, mixpanel.com, appsflyer.com i facebook.com. Wysysane dane obejmowały nazwy, adresy IP, operatorów sieci, trwałe identyfikatory i dane z czujników.

Facebook był powiadamiany o otwarciu aplikacji, a także o jej dezaktywacji po zablokowaniu ekranu za pośrednictwem interfejsu Graph API. Ponadto dane były przesyłane do platformy społecznościowej, nawet jeśli użytkownik nie miał konta.

Informacje wysyłane do Facebooka obejowały strefę czasową, model urządzenia, preferencje językowe, rozdzielczość ekranu i unikalny identyfikator (anon_id). Ten identyfikator nie zniknie nawet po zresetowaniu identyfikatora na poziomie systemu operacyjnego.

Do „głębokiego” linkowania platformy Branch Ring wysyłał kilka unikalnych identyfikatorów (device_fingerprint_id, hardware_id, identity_id) wraz z lokalnym adresem IP urządzenia, modelem, rozdzielczością ekranu i DPI.

Informacje, które otrzymywała AppsFlyer, obejmowała: operatora komórkowego, datę instalacji pierścienia, unikalne identyfikatory, informacje czy śledzenie AppsFlyer zostało wstępnie zainstalowane na urządzeniu, zainstalowane czujniki (magnetometr, żyroskop i akcelerometr) oraz bieżące ustawienia kalibracji.

Usługa analityki biznesowej MixPanel otrzymywał najwięcej informacji: „imiona i nazwiska użytkowników, adresy e-mail, informacje o urządzeniu, takie jak wersja i model systemu operacyjnego, czy Bluetooth jest włączony, oraz ustawienia aplikacji, takie jak liczba lokalizacji, w których użytkownik ma zainstalowane urządzenia Ring”.

Należąca do Google usługa rejestrowania awarii Crashalytics również otrzymuje informacje od Ringa, ale EFF nie określił dokładnego zakresu udostępniania danych.

Jak twierdziła fundacja, aplikacja wykorzystuje szyfrowany protokół HTTPS do przesyłania danych w taki sposób, aby wymykał się analizie.

Ilość danych udostępnianych stronom trzecim, zauważa EFF, jest alarmująca, ponieważ umożliwia tym firmom łatwe śledzenie użytkowników w różnych aplikacjach.

W następstwie skarg związanych z bezpieczeństwem i prywatnością, firma Ring, należąca do Amazona, ogłosiła, że jej aplikacje na iOS i Androida wkrótce będą zawierać nowe Centrum sterowania, z którego użytkownicy będą mogli zarządzać funkcjami i ustawieniami prywatności i bezpieczeństwa. Centrum sterowania ułatwia użytkownikom włączanie uwierzytelniania dwuskładnikowego, sprawdzanie, kto jest zalogowany na konto, wylogowywanie, przeglądanie połączeń z usługami stron trzecich oraz uniemożliwianie lokalnym oddziałom policji dostępu do materiału filmowego z kamer Ring.