亚马逊Ring中的安全漏洞，可以访问敏感数据

漏洞我们都知道这是一种存在在系统中的缺陷和弱点。同时漏洞出现的原因也是有很多种的，在众多的网络安全攻击中，漏洞也经常被黑客利用来进行攻击，一旦漏洞被黑客利用了，那么对于一个企业或是组织来说，都是一个很大的影响。

此外，黑客在通过漏洞进行攻击的时候，往往也会伴随着多种事情的发生，比如：一些企业机密的数据信息被窃取、信息系统被攻击或控制，和系统被用作入侵其它设备的跳板。据了解，现在的漏洞占比中，应用软件的漏洞比操作系统中的漏洞多，并且WEB应用系统更是占了绝大多数。

近段时间，就有相关的外媒报道称，亚马逊对Android版Ring应用程序中，发现的严重性漏洞进行了相关的修复，根据网络安全研究员的分析可以知道，该漏洞可以让安装了恶意软件的设备，对一些敏感信息进行访问。据了解被发现漏洞的Ring应用程序，它可以让用户对来自多个设备的视屏源进行监控，例如：视频门铃、警报系统以及安全摄像头等，根据统计它在Android的应用程序中，已经有高达1000万次的下载量了。

网络安全研究员分析后发现，这次被发现的严重漏洞，是存在于com.ringapp/com.ring.nh.deeplink.DeepLinkActivity中，据了解activity是在安卓manifest中是导出的，所以它可以被同一个设备中的其他应用进行访问，而这些应用中，有可能是用户安装的恶意软件。

除此之外，研究员们还发现，在cyberchef.schlarpc.people.a2z.com中，有一个反射跨站点脚本（XSS）的安全漏洞，该漏洞可以连接之前的问题，并安装恶意软件。网络黑客可以通过该漏洞获得用户的授权令牌，接着就可以通过一系列的操作从“ring[.]com/mobile/authorize”来提取会话cookie。

而一旦网络黑客获得了cookie，那么他们就可以利用Ring API，来对受害者的账户以及账户的一些个人数据进行访问，比如：名称、电话号码、地理位置信息和电子邮件地址等。被黑客利用的API如下所示：

1、获取设备数据和录像

2、获取受害者的个人数据和设备

该严重漏洞主要影响到的设备版本有：安卓的3.51.0版本、iOS的5.51.0版本和Ring v.51版本，目前该漏洞已经被修复了，用户可以尽快更新。漏洞的影响是比较大的，并且漏洞的出现，往往就有软件错误、人为错误、系统的复杂性等这些因素的影响，企业需要提高警惕，并且在出现漏洞后，要及时的更新补丁和安装防护墙等。