亚马逊Ring智能门锁漏洞可窃取WiFi密码

Bitdefender安全研究人员在亚马逊Ring Video Doorbell Pro设备中发现一个高危安全漏洞，附近的攻击者利用该漏洞可以窃取WiFi密码，并使用中间人攻击的方式对网络中连接的其他设备发起不同类型的攻击。

漏洞概述

云端-设备通信

Ring Video Doorbell只能使用多个API端点通过公司的云服务来进行通信，比如es.ring. com或ps.ring.com。为了与这些端点进行通信，智能门锁在验证服务器证书时使用了HTTPS通信，使中间人攻击不可能发生。为了快速处理任意的事件，设备会保持到云端的连接是开放的。这可以加速响应的速度，服务器也可以尽可能快地发送信息。

本地网络

设备使用本地无线网络来连接到Internet，但并不会暴露任意服务到本地网络。所有的通信都是通过厂商的云服务产生的。这就减少了本地的攻击面，但是互联网断开的话，服务也会停止。

设备初始配置

信息泄露

设备使用无线连接到加入本地网络中。第一次配置设备时，智能手机APP必须发送无线网络凭证。但这是通过未受保护的AP以一种不安全的方式产生的。进入配置模式后，设备会在没有口令的情况下创建一个AP（SSID含有MAC地址的最后3个字节）。网络建立后，app会自动连接，查询设备，然后发送凭证到本地网络。所有的交换都是通过明文HTTP执行的。也就是说凭证会暴露给附近的窃听者。

智能手机APP-云端通信

账号管理

每个用户都需要注册一个Ring账号。设备会与用户账号进行关联。为了与设备进行通信，智能手机APP需要使用云服务，即使是在相同的本地网络中也需要使用云服务。该功能是由api.ring.com API处理的。App还与其他API进行通信以完成其他的功能，比如错误报告、通知等。所有这些连接都是通过执行certificate pinning来TLS上安全实现的。

设备访问控制

只有合法的所有者才能访问和控制门锁。其他用户想要访问设备的话，可以由用户通过APP授予权限。对设备的访问是强制执行的，所以如果没有必要的权限任何人都无法访问门锁。

凭证泄露

如上所示，本地网络的凭证是通过不安全的信道发送的。附件的攻击者可以利用该漏洞来获取用户的网络凭证。但攻击者必须诱使用户相信设备运转出现了错误，所以用户需要对其进行重新配置。实现的方式就是持续发送deauthentication消息，这样设备就会从无线网络中断开。

Deauthentication是允许第三方发起攻击的过程，该过程必须持续到用户发现设备运行异常。这个过程可能很短，也可能会很长。因为门锁在按下时仍然会响，唯一的不同是门锁不会发送通知，也无法到达远程服务器。之后，app会显示设备掉线了：

live view按钮会变黑，点击时，app会重启路由器或按下setup按钮2次。按下按钮2次回触发设备重新连接到网络。最后一步就算尝试重新配置设备。

重新配置设备：

同时攻击者也在嗅探所有的包，等待发送给设备的明文凭证。