Ring de Amazon corrigió silenciosamente una falla de seguridad que corría el riesgo de exponer las grabaciones de la cámara de los usuarios: Ring, propiedad de Amazon, reparó silenciosamente una vulnerabilidad de seguridad de «gravedad alta» en mayo que podría haber permitido a los actores maliciosos acceder a las grabaciones de las cámaras Ring Video Doorbell y extraer los datos personales de los usuarios.

investigadores de atlanta empresa de seguridad de aplicaciones Checkmarx descubrió la falla mientras analizaba la aplicación Ring para Android. Esta aplicación permite a los usuarios monitorear imágenes grabadas de timbres de video y cámaras de seguridad, y se ha descargado más de 10 millones de veces.

Los investigadores encontraron que la aplicación contenía varios errores que, cuando se encadenaron, podrían haber permitido a los atacantes explotar la vulnerabilidad creando y publicando una aplicación maliciosa, o enviando una actualización a una aplicación existente, ejecutándose en el mismo dispositivo. Si se engaña a una víctima potencial para que instale una aplicación maliciosa, esto permitiría a los atacantes obtener cookies de autenticación, que son pequeños archivos que permiten a un usuario permanecer conectado permanentemente sin tener que volver a ingresar sus contraseñas constantemente.

Con estas cookies, un atacante podría acceder a la cuenta de un usuario sin su contraseña, lo que permite que la aplicación maliciosa robe el nombre completo, la dirección de correo electrónico, el número de teléfono y los datos del dispositivo Ring de un usuario de Ring, como grabaciones de cámara y datos de geolocalización.

Checkmarx dijo que los atacantes exitosos podrían extraer más información de las grabaciones de la cámara Ring, como información en documentos o en pantallas de computadora visibles para una cámara Ring, o para rastrear los movimientos de las personas dentro y fuera de las habitaciones o edificios.

Ring solucionó el problema el 27 de mayo en la versión 3.51.0 de la aplicación Android Ring y le dijo a Checkmarx que no había datos de clientes expuestos. Una vez contactada, la portavoz de Ring, Claudia Fellerman que Ring había reparado la vulnerabilidad.

Ring fue adquirido por Amazon por alrededor de mil millones de dólares en 2018. Desde entonces, el fabricante de timbres con video ha ampliado sus asociaciones con las fuerzas del orden público a más de 2200 departamentos de policía en los Estados Unidos, lo que permite a la policía solicitar a los propietarios imágenes de la cámara del timbre con video. Ring proporcionó una cantidad récord de datos de usuario y grabaciones de video de clientes a las autoridades el año pasado y compartió imágenes de clientes con la policía 11 veces sin el consentimiento del propietario de la cuenta en 2022 hasta el momento.

A principios de este año, TechCrunch reveló una falla de seguridad en la aplicación Ring’s Neighbors expuso las ubicaciones precisas y las direcciones de los usuarios que habían publicado en la aplicación.