Ring Doorbell智能门铃漏洞可能招来“不速之客”

亚马逊在去年耗资10亿美元,收购美国智能门铃公司Ring。这是一款黑白相间的长方形小盒子,上半部分为红外线相机、运动传感器、麦克风和扬声器,下半部分则是门铃,同时内部集成电池,可实现一年的续航力,另外还可通过mini USB数据线进行充电。当有访客在门前出现时,Ring的运动传感器便会检测到,拍摄40秒视频并上传至云端(云空间需另外付费),而访客按下门铃时,用户也可通过Ring的摄像头查看到来者何人,并进行通话。

 

Ring再曝最新漏洞

在最近推送的一个补丁中,亚马逊旗下的智能门铃企业 Ring,修复了自家产品中的一个安全隐患 —— 因黑客可借助该漏洞发起攻击,将虚假的图像内容注入到视频源中。需要指出的是,尽管Ring 会定期发布修复固件,但那些使用旧版 Ring 应用程序的客户,仍有暴露于这方面的风险。



在一份报告中,BullGuardat Dojo 的安全研究人员披露了有关该漏洞的详细信息。其支出,借助适当的技术手段,任何有权访问传入数据包的人,都可以收听到实时的反馈。


问题在于,Ring 所采用的方案,并未引用强加密。那些能够访问目标 Wi-Fi 的黑客,甚至可以在数据到达 App 端之前,就将虚假内容注入到消息流中。


举个极端点的例子,狡猾的攻击者能够利用该漏洞,向房主发送经过篡改的图像,以欺骗其打开门锁。当然,这并不是我们首次听说有关 Ring 设备的安全漏洞。

 

Ring的漏洞历史

2017 年 3 月,一些用户发现,他们的 Ring 门铃正在向搜索引擎巨头百度运营的中国服务器发送数据。


2018年 5 月,The Information 还报道了 Ring 允许密码修改,但不强制用户退出并重新登陆。


今年1月11日,据英国TheIntercept 网站报道,亚马逊旗下的智能门铃公司Ring允许员工观看由门铃摄像头拍摄的用户生活视频。而Ring的工程师和高管们则可以看到一些用户“未经处理的全天候”视频。员工可在公司服务器上共享这些未加密视频,其中包括来自用户家门外的视频,有时也包括用户家中的视频。此外,还有一个数据库可以将每个视频文件链接到其所属的特定客户。而员工只需要知道该用户的电子邮箱地址,就可以查看该用户家中的Ring拍摄的所有视频文件。一直以来,用户对此毫不知情。

 

关于智能门铃的建议:

1、尽量选购不会被轻易拆卸的产品,最好是主机和摄像头分离,主机在门内,摄像头和门铃在门外,这样就不会轻易被黑客拿到主机实施攻击。


2、选购智能门铃不要只看设备本身,还要看配套的云端服务是否稳定,安全。


3、家庭WiFi网络最好划分专门的访客网络,使用不同的密码,供那些乱八七糟的智能设备使用。


4、智能门铃通常离WiFi路由器比较远,信号比较差的时候会影响视频传输质量和门铃电池续航时间,建议搭配购买一个WiFi无线扩展器或者信号放大器。

 

参考来源:

cnBeta.COM

腾讯视频

24ker


发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注