在最近推送的一个补丁中,亚马逊旗下的智能门铃企业 ring,修复了自家产品中的一个安全隐患 —— 因黑客可借助该漏洞发起攻击,将虚假的图像内容注入到视频源中。需要指出的是,尽管 ring 会定期发布修复固件,但那些使用旧版 ring 应用程序的客户,仍有暴露于这方面的风险。
在今日公布的一份报告中,bullguard at dojo 的安全研究人员,披露了有关该漏洞的详细信息。其支出,借助适当的技术手段,任何有权访问传入数据包的人,都可以收听到实时的反馈。
问题在于,ring 所采用的方案,并未引用强加密。那些能够访问目标 wi-fi 的黑客,甚至可以在数据到达 app 端之前,就将虚假内容注入到消息流中。
举个极端点的例子,狡猾的攻击者能够利用该漏洞,向房主发送经过篡改的图像,以欺骗其打开门锁。当然,这并不是我们首次听说有关 ring 设备的安全漏洞。
今年早些时候,有报道称 ring 允许其员工观看客户家中的视频。对于此事,该公司拒绝了媒体的置评请求,只是声称不会在k8凯发游戏官网上暴露、且会采用其它安全措施来保护用户的数据安全。
去年 5 月,the information 还报道了 ring 允许密码修改,但不强制用户退出并重新登陆。
2017 年 3 月,一些用户发现,他们的 ring 门铃正在向搜索引擎巨头百度运营的中国服务器发送数据。
ring 没有给出更多的解释,只声称这是一个 bug,且该公司会定期更新固件,不至于引发这么大的关注。
试用申请