Amazon Ring z istotną luką. Podatność pozwala na kradzież danych użytkowników

12 listopada 2019, 09:32
phone-343624_960_720
fot. Tomasz_Mikolajczyk / pixabay

Luka bezpieczeństwa w dzwonkach Amazon Ring wyposażonych w funkcję nagrywania wideo przez kilka miesięcy pozwalała hakerom na wykradanie danych do logowania na koncie użytkownika oraz na inne rodzaje ataków - poinformowali eksperci firmy Bitdefender.

Podatność, która została już naprawiona przez producenta dzwonków, powodowała przesył danych uwierzytelniających bez należytego zabezpieczenia. Hakerzy mogli w związku z tym oszukiwać użytkowników Amazon Ring sugerując im, że urządzenie nie funkcjonuje poprawnie poprzez bombardowanie go komunikatami o braku uwierzytelnienia (powodującymi odłączenie od sieci WiFi) a następnie wymuszać jego ponowną konfigurację. Właśnie podczas tego procesu dane do logowania mogły być przechwytywane przez cyberprzestępców.

Według ekspertów z firmy Bitdefender ataki z użyciem tego typu komunikatów należy zaliczać do operacji typu DDoS (zmasowanej odmowy dostępu do usługi - PAP), których celem jest proces komunikacji pomiędzy użytkownikiem a urządzeniem podłączonym do sieci bezprzewodowej. Kiedy działanie tego typu kończy się sukcesem hakerów, atakowane urządzenie jest automatycznie wyrzucane z sieci WiFi i przechodzi natychmiast w tryb konfiguracji.

Bitdefender ocenia, że w przypadku ataku na Amazon Ring, jeśli cyberprzestępcom udało się wykraść dane uwierzytelniające na etapie wymuszonej ponownej konfiguracji urządzenia, mogli tym samym zyskiwać dostęp do wszystkich sprzętów podłączonych w ramach danej sieci, przechwytywać w niej ruch, a także przejmować kontrolę nad innymi urządzeniami, np. kamerami bezpieczeństwa.

Firma podkreśla, że koncern Amazon - producent dzwonków Ring bardzo chętnie współpracował z Bitdefenderem przy usuwaniu luki, o której został poinformowany 20 czerwca tego roku. Łatka zabezpieczająca i częściowo neutralizująca możliwości wykorzystania podatności została wydana przez Amazon 5 października.

PAP - mini

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 0
No results found.