Ring Doorbell可能被黑客攻擊以顯示虛假圖像

Ring Doorbell最近修補的一個漏洞可能讓黑客將虛假圖像輸入到視頻源中，或者在廣播時竊聽視頻和音頻。這家亞馬遜公司已經(jīng)在最新版本的應(yīng)用程序中修補了該漏洞，但運行舊版Ring應(yīng)用程序的用戶仍可能面臨風(fēng)險。

BullGuard的Dojo研究人員在今天的一份報告中公布了該漏洞的詳細(xì)信息。該報告發(fā)現(xiàn)，使用正確的技術(shù)，任何有權(quán)訪問傳入數(shù)據(jù)包的人都可以收聽實時反饋，而實時反饋并未加強加密。能夠訪問用戶Wi-Fi的黑客甚至可以在到達應(yīng)用程序之前將數(shù)據(jù)注入到Feed中。在一次特別狡猾的攻擊中，該注入方法可用于向房主發(fā)送篡改圖像以說服他們解鎖門。Ring回答說：“客戶的信任對我們很重要，我們會認(rèn)真對待我們設(shè)備的安全性。Ring應(yīng)用程序中的問題以前已經(jīng)修復(fù)，我們總是鼓勵客戶將他們的應(yīng)用程序和手機操作系統(tǒng)更新到最新版本。“

這遠(yuǎn)遠(yuǎn)不是安全專家第一次發(fā)現(xiàn)Ring設(shè)備中的漏洞。今年早些時候，報道顯示Ring允許其員工觀看客戶的視頻。Ring拒絕了這些報道，說：

我們非常重視客戶個人信息的隱私和安全。為了改善我們的服務(wù)，我們查看和注釋某些Ring視頻錄制。這些錄音完全來自鄰居應(yīng)用程序的公開共享環(huán)視頻(根據(jù)我們的服務(wù)條款)，以及一小部分已經(jīng)明確書面同意的Ring用戶，允許我們訪問和利用他們的視頻目的。Ring員工無法訪問Ring產(chǎn)品的直播。

Ring不會在其網(wǎng)站上顯示有關(guān)是加密視頻素材還是采用其他安全措施來保護用戶數(shù)據(jù)的信息。

去年5月，The Information 報道Ring 允許密碼更改，并且在您登錄一次后從未簽署過。Ring澄清說它已修復(fù)此問題，現(xiàn)在在密碼更改后將您注銷。2017年3月，一些用戶發(fā)現(xiàn)他們的Ring門鈴正在向搜索引擎巨頭百度運營的中國服務(wù)器發(fā)送數(shù)據(jù)。幾乎沒有解釋為什么，除了它是一個錯誤。Ring 本月早些時候告訴The Verge，“這不是引起關(guān)注的原因，但是，Ring會定期更新其設(shè)備的固件。”