Une faille de sécurité a été repérée dans l’application Android d’Amazon Ring. Grâce à cette vulnérabilité, un logiciel malveillant était libre de voler les données personnelles des utilisateurs et de consulter les vidéos enregistrées par les sonnettes et caméras. Un correctif a été déployé.
Les chercheurs en sécurité de Checkmarx ont découvert une faille de sécurité dans l’application Android d’Amazon Ring. L’application compagnon permet de configurer, de contrôler et d’accéder aux sonnettes et caméras connectées de la marque. Elle a été téléchargée plus de 10 millions de fois sur le Play Store de Google depuis sa mise en ligne.
Dans un rapport publié ce 18 août 2022, les experts expliquent avoir identifié une vulnérabilité dans le code de l’application. En exploitant cette brèche, un programme malveillant installé sur le smartphone aurait théoriquement pu accéder aux données personnelles de l’utilisateur.
Sur le même thème : une série va compiler les meilleures vidéos enregistrées par les sonnettes Amazon Ring
Les données personnelles des clients Ring étaient en danger
Parmi les données sensibles, on trouve le nom complet, l’adresse e-mail, le numéro de téléphone de l’utilisateur et la géolocalisation de la sonnette connectée. De facto, l’adresse du domicile aurait pu être déduite par des acteurs malveillants.
Surtout, l’application malveillante aurait pu s’emparer des vidéos stockées sur la sonnette Ring. Munie d’une caméra, elle conserve un enregistrement des individus ayant appuyé sur la sonnette, comme un proche ou le facteur. Elle peut aussi se mettre à filmer si un mouvement est repéré à proximité. Ces séquences auraient pu être utilisées pour organiser un cambriolage ou pour faire chanter les usagers.
Notez qu’il n’est pas rare que des logiciels malveillants prennent pour cible les smartphones Android. Récemment, Bitdefender a découvert 35 applications Android cachant un logiciel malveillant sur le Play Store. Quelques jours plus tôt, TrendMicro repérait sur la boutique de Google 17 applications vérolées capables de siphonner toutes vos données.
Amazon a déployé un correctif sur Android
Contacté par Checkmarx, Amazon a promptement déployé un correctif pour protéger ses utilisateurs d’un « problème de grande gravité ». Le géant américain estime qu’aucun pirate n’a exploité la brèche pour mener une attaque. Il aura fallu moins de 30 jours à Amazon pour lancer le déploiement d’un patch.
« Nous avons déployé un correctif pour les clients Android le 27 mai 2022, peu de temps après le traitement de la découverte des chercheurs. D’après notre examen, aucune information client n’a été exposée. Cette faille serait extrêmement difficile à exploiter pour quiconque, car elle nécessite un ensemble improbable et complexe de circonstances pour être exécutée », tempère Amazon.
Ce n’est pas la première fois que la sécurité des appareils Ring est pointée du doigt. En 2019, un pirate a pris le contrôle de la caméra Ring d’une famille américaine. Après avoir espionné tout le monde pendant plusieurs jours, il s’est servi des haut-parleurs de la caméra pour terroriser une petite fille. Quelques mois plus tard, Amazon Ring révélait avoir licencié plusieurs salariés pour avoir consulté les vidéos enregistrées par les caméras des clients.
Source :
Checkmarx