image

Opnames Ring-deurbelcamera waren niet goed beveiligd in Android-app

vrijdag 19 augustus 2022, 08:21 door Redactie, 10 reacties

Opnames die eigenaren van een Ring-deurbelcamera maakten en hun persoonlijke gegevens waren niet goed beveiligd in de Android-app, waardoor aanvallers hier via malafide apps toegang toe hadden kunnen krijgen. Dat laat securitybedrijf Checkmarx weten. Amazon heeft de kwetsbaarheid inmiddels via een beveiligingsupdate verholpen.

De Androidd-app van ring is meer dan tien miljoen keer gedownload en maakt het mogelijk voor gebruikers om live met de deurbelcamera mee te kijken en Ring-beelden op te slaan, te bekijken en te delen. Onderzoekers ontdekten een "activity" in de Ring-app die voor andere apps op het toestel toegankelijk was. Met deze activity was het mogelijk om webcontent van een willekeurige server te accepteren en uitvoeren.

Gecombineerd met een cross-site scripting (XSS)-kwetsbaarheid in de interne browser van Ring lukte het onderzoekers om een token en sessiecookie te stelen en zo via de Ring API namen, e-mailadressen, telefoonnummers, locatiegegevens en opgeslagen opnames van de betreffende gebruiker op te vragen. Amazon werd op 1 mei ingelicht en rolde op 27 mei een update uit. De bevindingen zijn nu openbaar gemaakt.

Reacties (10)
19-08-2022, 08:35 door Anoniem
Zolang Amazon erbij kan, zijn de beelden hoe dan ook niet veilig...
19-08-2022, 09:31 door Anoniem
Ding Dong !
19-08-2022, 09:55 door Anoniem
Door Anoniem: Zolang Amazon erbij kan, zijn de beelden hoe dan ook niet veilig...
Behalve live feeds, schijnt het dat met E2EE dit niet meer mogelijk is.
Maar ja dat is natuurlijk hetzelfde verhaal als met WhatsApp.
Het zal vast E2EE zijn maar als de key als nog wordt doorgespeeld, weten ze als nog alles.

Gewoon deze troep niet kopen.
19-08-2022, 11:25 door Anoniem
Zijn dat die achterlijke dingen die zich commercieel aan de hele straat verkondigen met een luid deurbel geluid juist buiten de woning?
20-08-2022, 11:46 door Anoniem
Ah bah zeg.
Oooh-hoo-ho Ring, Ring, why didn't you give me a call?!
21-08-2022, 08:47 door Anoniem
Dieptriest, dit amateurisme.
Daarom geen camera’s in en om mijn huis.
Je privacy is belangrijker dan de zeer geringe kans dat een camera een indringer tegenhoudt of helpt bij de aanhouding van de indringer.
21-08-2022, 16:34 door Anoniem
Door Anoniem: Zijn dat die achterlijke dingen die zich commercieel aan de hele straat verkondigen met een luid deurbel geluid juist buiten de woning?

Dat zijn die achterlijke camera's die iedereen illegaal op de openbare weg richt, de beelden van aan Amazon ter beschikking stelt en waar de Autoriteit Persoongegevens niets tegen doet.
22-08-2022, 10:06 door Anoniem
Door Anoniem:
Door Anoniem: Zijn dat die achterlijke dingen die zich commercieel aan de hele straat verkondigen met een luid deurbel geluid juist buiten de woning?

Dat zijn die achterlijke camera's die iedereen illegaal op de openbare weg richt, de beelden van aan Amazon ter beschikking stelt en waar de Autoriteit Persoongegevens niets tegen doet.

Ik zeg: Graag je onderbouwing met bewijsvoering toevoegen. En dit dan doorsturen naar de Autoriteit Persoonsgegevens en meteen ook maar naar de belangrijkste media. Dat zal wel voor aandacht zorgen ;-)
22-08-2022, 10:47 door _R0N_
Door Anoniem:
Door Anoniem:
Door Anoniem: Zijn dat die achterlijke dingen die zich commercieel aan de hele straat verkondigen met een luid deurbel geluid juist buiten de woning?

Dat zijn die achterlijke camera's die iedereen illegaal op de openbare weg richt, de beelden van aan Amazon ter beschikking stelt en waar de Autoriteit Persoongegevens niets tegen doet.

Ik zeg: Graag je onderbouwing met bewijsvoering toevoegen. En dit dan doorsturen naar de Autoriteit Persoonsgegevens en meteen ook maar naar de belangrijkste media. Dat zal wel voor aandacht zorgen ;-)

Nou om maar 1 te noemen. Tijdje terug storte een huis in omdat de betreffende laadpaal elektricien een prutser was/is.
Binnen een half uur stonden de beelden van de deurbel aan de overkant op dumpert zodat iedereen kon zien hoe de overburen dakloos werden.
04-09-2022, 16:25 door Anoniem
Waarom krijgt Amazon daar geen loodzware GDPR-boete voor? Dan stopt deze geautomatiseerde privacyschending meteen - en hopelijk krijgt de rest (Google en de chinezen) zoveel schrik dat ze stoppen met die privacyschendende rotzooi.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.