Amazon Ring for Android の脆弱性が FIX:画像の不正アクセスから機械学習への連鎖

Amazon fixes Ring Android app flaw exposing camera recordings

2022/08/18 BleepingComputer — Amazon は、Amazon Ring for Android において、侵害に成功したハッカーが、ユーザーの保存したカメラ録画をダウンロードできるという、深刻度の高い脆弱性を修正した。この脆弱性は、アプリケーション。セキュリティテスト会社である Checkmarx のセキュリティ研究者が発見し、2022年5月1日にアマゾンに開示し、5月27日に修正されたものである。

Ring for Android アプリは 1000万ダウンロードを超え、世界中の人々に利用されているため、カメラ録画への不正アクセスが生じると、恐喝からデータ窃盗などにいたるまでの、多用な悪質な行為が引き起こされる可能性が生じる。


Ring Android アプリのエクスプロイト

Checkmarx が、Ring for Android アプリを分析したところ、Android 上の他のアプリから起動できる Activity が、このアプリによる公開されることを発見した。

Android の Activity とは、特定のアクションを実行するためにユーザーが操作する、画面を表示するプログラム・コンポーネントのことだ。Android アプリを作成する際に、アプリのマニフェスト・ファイルに Activity を追加することで、インストールされている他のアプリに公開することが可能となる。

Checkmarx が、Ring for Android アプリを調査したところ、”com.ringapp/com.ring.nh.deeplink.DeepLinkActivity” をアプリのマニフェストに公開しており、他のアプリからの起動が許されていることが発見された。 

Checkmarx が BleepingComputer と共有したレポートでは、「この Activity は、ディスティネーション URI に “/better-neighborhood/” という文字列が含まれていれば、あらゆるサーバからWebコンテンツを受け入れ、読み込み、実行する」と説明されている。

つまり、Activity を起動し、攻撃者が管理する Web サーバーへと誘導して、Activity と対話させることができる。しかし、ring.com または a2z.com ドメイン上の Web ページのみが Activity と対話できるように制限されていた。

しかし、Checkmarx の研究者たちは、https://cyberchef.schlarpc.people.a2z.com/ の URL に XSS の脆弱性を見つけだし、公開された Activity と対話できることを証明した。

この、XSS 脆弱性の利用に成功した研究者たちは、現時点でアクセス可能な Ring API を介して、ユーザー・アカウントの認証トークンとハードウェア ID を用いる、ログイン・クッキーを盗み出せることを証明した。

Exploiting the XSS vulnerability
Exploiting the XSS vulnerability
Source: Checkmarx

さらに研究者たちは、盗みだした Cookie を武器にして、ユーザー・アカウントから個人情報を窃取できることも証明した。Checkmarx は、「このクッキーを悪用し、Ring API を介することで、ユーザーのフルネーム/電子メール/電話番号などの個人データと、ジオロケーション/住所/録音などの Ring デバイス・データを抽出することが可能になった」と述べている。

研究者たちが、実用的な攻撃チェーンの作成に成功したことで、Google Play などで悪意のあるアプリを公開する脅威アクターが登場し、この脆弱性の悪用が発生すると考えられる。つまり、ユーザーを騙して悪意のアプリをインストールさせると、そのアプリが攻撃を実行し、Ring ユーザーの認証クッキーを攻撃者に送信することになる。

機械学習で動画を解析

ここで、脅威アクターの立場になって考えてみる。この脆弱性を悪用することで、突然手に入ってしまう大量の動画をどうすれば良いのだろうか? Checkmarx は、画像/動画の解析サービスである Amazon Rekognition サービスを利用して、動画をふるいにかけ、興味のあるものを見つけ出せることを発見した。

機械学習を利用して、有名人の動画や特定の単語を含む文書、あるいは、モニターに貼られた付箋上のパスワードなどを、発見することが可能となる。これらのデータは、脅威アクターたちにより中継され、恐喝やネットワーク侵入、あるいは、単なる盗撮に悪用される可能性がある。

しかし、Amazon が Checkmarx アのバグ報告に迅速に対応し、修正プログラムを導入したことは、不幸中の幸いである。Checkmarx の報告書は、「情報開示と修正プロセスを通じて、オーナーシップを持ちながら、プロフェッショナルである Amazon チームと協力できたのは喜ばしいことだった」と結んでいる。

Ring は 、この脆弱性が悪用され、顧客情報が盗まれることはなかったと述べている。Ring は BleepingComputer に対して、「私たちは、当社のデバイスとサービスのセキュリティに真剣に取り組んでおり、また、独立系の研究者たちに感謝している。研究者からの投稿が処理された直後の5月に、Android ユーザーのための修正プログラムを発行した。私たちのレビューによると、顧客情報は公開されていない」と語っている。

Checkmarx は、Ring for Android アプリの脆弱性と、この脆弱性の悪用方法を示すために、以下の動画を BleepingComputer と共有した。

IP カメラから画像を不正に取得し、それを機械学習で解析するという、とても恐ろしいキルチェーンを考える人がいるようです。画像の解析までいかなくても、恐喝などが発生することを考えると、IP カメラの存在も良し悪しですね。とは言え、オンライン・ミーティングもあるので、無しにするというわけにはいきません。個人的な話になりますが、Zoom などに使う MBA には、カメラの前に物理的なスライド・シャッターを付けています。これも、小さなゼロトラストだと思います。

%d bloggers like this: