Polityka i prawo
Amazon Ring z istotną luką. Podatność pozwala na kradzież danych użytkowników
Luka bezpieczeństwa w dzwonkach Amazon Ring wyposażonych w funkcję nagrywania wideo przez kilka miesięcy pozwalała hakerom na wykradanie danych do logowania na koncie użytkownika oraz na inne rodzaje ataków - poinformowali eksperci firmy Bitdefender.
Podatność, która została już naprawiona przez producenta dzwonków, powodowała przesył danych uwierzytelniających bez należytego zabezpieczenia. Hakerzy mogli w związku z tym oszukiwać użytkowników Amazon Ring sugerując im, że urządzenie nie funkcjonuje poprawnie poprzez bombardowanie go komunikatami o braku uwierzytelnienia (powodującymi odłączenie od sieci WiFi) a następnie wymuszać jego ponowną konfigurację. Właśnie podczas tego procesu dane do logowania mogły być przechwytywane przez cyberprzestępców.
Według ekspertów z firmy Bitdefender ataki z użyciem tego typu komunikatów należy zaliczać do operacji typu DDoS (zmasowanej odmowy dostępu do usługi - PAP), których celem jest proces komunikacji pomiędzy użytkownikiem a urządzeniem podłączonym do sieci bezprzewodowej. Kiedy działanie tego typu kończy się sukcesem hakerów, atakowane urządzenie jest automatycznie wyrzucane z sieci WiFi i przechodzi natychmiast w tryb konfiguracji.
Bitdefender ocenia, że w przypadku ataku na Amazon Ring, jeśli cyberprzestępcom udało się wykraść dane uwierzytelniające na etapie wymuszonej ponownej konfiguracji urządzenia, mogli tym samym zyskiwać dostęp do wszystkich sprzętów podłączonych w ramach danej sieci, przechwytywać w niej ruch, a także przejmować kontrolę nad innymi urządzeniami, np. kamerami bezpieczeństwa.
Firma podkreśla, że koncern Amazon - producent dzwonków Ring bardzo chętnie współpracował z Bitdefenderem przy usuwaniu luki, o której został poinformowany 20 czerwca tego roku. Łatka zabezpieczająca i częściowo neutralizująca możliwości wykorzystania podatności została wydana przez Amazon 5 października.
Haertle: Każdego da się zhakować
Materiał sponsorowany