Opnames met Ring-deurbelcamera’s en de persoonlijke gegevens van hun eigenaren waren onvoldoende beveiligd in de Android-app. Kwaadwillenden konden er via malafide apps toegang tot krijgen. Securitybedrijf Checkmarx heeft dit recentelijk bekendgemaakt.
De Android-app van Ring is ruim 10 tien miljoen keer gedownload. Gebruikers kunnen ermee live meekijken met de deurbelcamera, de beelden opslaan en delen. Onderzoekers ontdekten een activity in de Ring-app die voor andere apps op het toestel te benaderen was. Hiermee was het mogelijk om webcontent van een willekeurige server te accepteren en uit te voeren.
Door ook gebruik te maken van een cross-site scripting (XSS)-beveiligingslek in de interne browser van Ring slaagden de onderzoekers erin om een token en sessiecookie te stelen. Op die manier konden ze via de Ring API namen, e-mailadressen, telefoonnummers, locatiegegevens en opgeslagen beelden opvragen. Amazon, dat op 1 mei werd ingelicht over de kwetsbaarheid, heeft deze op 27 mei verholpen met een beveiligingsupdate.
