亚马逊的Ring Video Doorbell Pro设备中的一个安全漏洞可能使攻击者能够利用连接互联网的门铃来拦截所有者的wi-fi凭据,从而使黑客未经授权即可访问网络以及网络上的其他设备。
网络安全公司Bitdefender的研究人员已经披露了此漏洞 ,他们指出,所有 Ring Doorbell Pro摄像机现在都已收到安全补丁,以缓解此问题。
环形门铃已成为安装在智能家居中最流行的互联网连接门铃之一。这些设备提供了运动感应和视频监视功能,即使用户不在家里,用户也可以通过应用程序与门外的任何人进行查看和交流。
人们购买物联网门铃的原因之一是安全性,以及通过设备与不需要的访客交谈的能力,以避开他们。但是,Ring设备中发现的漏洞可能使用户面临网络攻击的风险。
该漏洞源于首次将设备配置到本地网络时,即Ring智能手机应用需要将无线网络连接发送到云中的Amazon Ring服务器时。
研究人员发现,这种攻击是以不安全的方式发生的,可以被攻击者利用:设备不仅会创建没有密码的访问点,而且网络凭据也会使用HTTP发送,这意味着它们可能会受到攻击。偷窥附近的攻击者。
“应用程序和设备按照最佳安全实践的要求,通过HTTP而不是HTTPS进行通信。HTTP是一种“可嗅探”协议,这意味着双方之间交换的所有内容都可以被潜在的参与者在物理距离内进行窃听。” Bogdan Bitdefender威胁研究和报告主管Botezatu告诉ZDNet。
攻击者与目标设备之间的距离取决于他们的设备,但是攻击者很可能会在目标受害者看不见的情况下进行攻击。希望利用此漏洞的攻击者需要知道他们的目标是Amazon Ring用户,但是由于设备位于建筑物的前面,因此很容易将其发现。