亞馬遜Ring中的安全漏洞，可以訪問敏感數據

漏洞我們都知道這是一種存在在系統中的缺陷和弱點。同時漏洞出現的原因也是有很多種的，在眾多的網絡安全攻擊中，漏洞也經常被黑客利用來進行攻擊，一旦漏洞被黑客利用了，那么對于一個企業或是組織來說，都是一個很大的影響。

此外，黑客在通過漏洞進行攻擊的時候，往往也會伴隨著多種事情的發生，比如：一些企業機密的數據信息被竊取、信息系統被攻擊或控制，和系統被用作入侵其它設備的跳板。據了解，現在的漏洞占比中，應用軟件的漏洞比操作系統中的漏洞多，并且WEB應用系統更是占了絕大多數。

近段時間，就有相關的外媒報道稱，亞馬遜對Android版Ring應用程序中，發現的嚴重性漏洞進行了相關的修復，根據網絡安全研究員的分析可以知道，該漏洞可以讓安裝了惡意軟件的設備，對一些敏感信息進行訪問。據了解被發現漏洞的Ring應用程序，它可以讓用戶對來自多個設備的視屏源進行監控，例如：視頻門鈴、警報系統以及安全攝像頭等，根據統計它在Android的應用程序中，已經有高達1000萬次的下載量了。

網絡安全研究員分析后發現，這次被發現的嚴重漏洞，是存在于com.ringapp/com.ring.nh.deeplink.DeepLinkActivity中，據了解activity是在安卓manifest中是導出的，所以它可以被同一個設備中的其他應用進行訪問，而這些應用中，有可能是用戶安裝的惡意軟件。

除此之外，研究員們還發現，在cyberchef.schlarpc.people.a2z.com中，有一個反射跨站點腳本（XSS）的安全漏洞，該漏洞可以連接之前的問題，并安裝惡意軟件。網絡黑客可以通過該漏洞獲得用戶的授權令牌，接著就可以通過一系列的操作從“ring[.]com/mobile/authorize”來提取會話cookie。

而一旦網絡黑客獲得了cookie，那么他們就可以利用Ring API，來對受害者的賬戶以及賬戶的一些個人數據進行訪問，比如：名稱、電話號碼、地理位置信息和電子郵件地址等。被黑客利用的API如下所示：

1、獲取設備數據和錄像

2、獲取受害者的個人數據和設備

該嚴重漏洞主要影響到的設備版本有：安卓的3.51.0版本、iOS的5.51.0版本和Ring v.51版本，目前該漏洞已經被修復了，用戶可以盡快更新。漏洞的影響是比較大的，并且漏洞的出現，往往就有軟件錯誤、人為錯誤、系統的復雜性等這些因素的影響，企業需要提高警惕，并且在出現漏洞后，要及時的更新補丁和安裝防護墻等。