Cada vez es más común el que se logren hackear dispositivos, que nos deben ayudar a sentirnos más seguros. Sin embargo la gente que roba información, siempre buscará nuevas formas de vulnear dichos dispositivos.
Recientemente Amazon sufrió una vulnerabilidad en su dispositivo Ring, a través de Android. Los expertos de la marca Checkmarx. Ellos descubrieron que la aplicación Ring Android podría haber permitido que una aplicación maliciosa instalada en los teléfonos de los usuarios expusiera sus datos personales, geolocalización y grabaciones de cámaras Ring.
La vulnerabilidad se encontró en la actividad com.ringapp/com.ring.nh.deeplink.DeepLinkActivity. Esta se exportó implícitamente en el manifiesto de Android y, como tal, era accesible para otras aplicaciones en el mismo dispositivo. Estas otras aplicaciones podrían ser aplicaciones maliciosas que podrían convencer a los usuarios para que las instalen.
Esta actividad aceptaría, cargaría y ejecutaría contenido web desde cualquier servidor, siempre que el URL de destino del Intent contuviera la cadena "/better-neighborhoods/".
Podríamos usar adb para replicar una intención válida:
Amazon consideró que se trataba de un problema de alta gravedad y lanzó una solución poco después de que se le informara: “Emitimos una solución para los clientes de Android el 27 de mayo de 2022, poco después de que se procesara la presentación de los investigadores. Según nuestra revisión, no se expuso ninguna información del cliente. Este problema sería extremadamente difícil de explotar para cualquiera, porque requiere un conjunto de circunstancias poco probables y complejas para ejecutarlo”.
Afortunadamente para Amazon y los usuarios de Ring, Checkmarx pudo ayudar a solucionar este problema enfocándose en formas de mejorar las prácticas de seguridad de las aplicaciones en todas partes.