Opnames met Ring-deurbelcamera’s en de persoonlijke gegevens van hun eigenaren waren onvoldoende beveiligd in de Android-app. Kwaadwillenden konden er via malafide apps toegang tot krijgen. Securitybedrijf Checkmarx heeft dit recentelijk bekendgemaakt.
10 miljoen downloads
De Androidd-app van Ring is ruim 10 tien miljoen keer gedownload. Gebruikers kunnen ermee live meekijken met de deurbelcamera, de beelden opslaan en delen. Onderzoekers ontdekten een activity in de Ring-app die voor andere apps op het toestel te benaderen was. Hiermee was het mogelijk om webcontent van een willekeurige server te accepteren en uit te voeren.
Cross-site scripting
Door ook gebruik te maken van een cross-site scripting (XSS)-beveiligingslek in de interne browser van Ring slaagden de onderzoekers erin om een token en sessiecookie te stelen. Op die manier konden ze via de Ring API namen, e-mailadressen, telefoonnummers, locatiegegevens en opgeslagen beelden opvragen. Amazon, dat op 1 mei werd ingelicht over de kwetsbaarheid, heeft deze op 27 mei verholpen met een beveiligingsupdate.