អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពនៅ Bitdefender បានរកឃើញភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពខ្ពស់នៅ ក្នុងឧបករណ៍ Ring Video Doorbell Pro របស់ក្រុមហ៊ុន Amazon ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយ ប្រហារនៅក្បែរនោះលួចយកលេខសម្ងាត់ Wifi របស់អ្នក និងចូលដំណើរការអ៊ីនធឺរណិតជាច្រើន ប្រភេទដោយប្រើ MitM ប្រឆាំងនឹងឧបករណ៍ផ្សេងទៀតដែលភ្ជាប់ទៅ network តែមួយ។
ក្នុងករណីដែលអ្នកមិនមែនជាម្ចាស់ Amazon’s Ring Video Doorbell គឺជាកាមេរ៉ាសុវត្ថិភាពទ្វារផ្ទះ ឥតខ្សែដែលអាចអោយអ្នកមើលឃើញ ស្តាប់ និងនិយាយទៅកាន់អ្នកណាម្នាក់នៅលើទ្រព្យសម្បត្តិ របស់អ្នកពីគ្រប់ទីកន្លែងក្នុងពិភពលោក។ ឧបករណ៍ smart doorbell ត្រូវការភ្ជាប់បណ្តាញ Wifi របស់ អ្នកដែលអនុញ្ញាតឱ្យអ្នកចូលប្រើឧបករណ៍ពីកម្មវិធីស្មាតហ្វូនពីចម្ងាយដើម្បីបំពេញភារកិច្ចទាំងអស់ដោយឥតខ្សែ។
ខណៈពេលដែលការដំឡើងឧបករណ៍នេះជាលើកដំបូង និងចែករំលែកពាក្យសម្ងាត់ Wifi របស់អ្នក ជាមួយវាអ្នកត្រូវបើកដំណើរ enable ការរបៀបតំឡើងពី doorbell។ ចូលទៅក្នុង configuration mode ដែលភ្ជាប់មកជាមួយដោយមិនមានការការពារ ដែលអាចឱ្យកម្មវិធីស្មាតហ្វូន RING ដំឡើងនៅលើ ឧបករណ៍របស់អ្នកភ្ជាប់ទៅនឹង doorbell ដោយស្វ័យប្រវត្តិ។ ទោះយ៉ាងណាអ្នកស្រាវជ្រាវបានប្រាប់កាសែត Hacker News ថា ក្រៅពីប្រើចំណុចចូលដំណើរការ ដោយគ្មានលេខសម្ងាត់ ការទំនាក់ទំនងដំបូងរវាង Ring app និង doorbell នៅពេលអ្នកចែកចាយ លេខកូដ Wifi នៅផ្ទះរបស់អ្នកជាមួយ doorbell ត្រូវបានអនុវត្តដោយគ្មានសុវត្ថិភាពតាមរយៈ អ៊ីនធឺរណិត plain HTTP។
ដូច្នេះអ្នកវាយប្រហារដែលនៅក្បែរនោះអាចភ្ជាប់ទៅនឹងចំណុចចូលប្រើឥតខ្សែដែលមិនមានការ ការពារ ដូចគ្នាខណៈពេលដែលការរៀបចំកំពុងដំណើរការ ហើយលួចយកលេខកូដ Wifi របស់អ្នក ដោយប្រើការវាយប្រហារដោយ man in the middle attack។ ចាប់តាំងពីការវាយប្រហារនេះអាចត្រូវបានអនុវត្តតែនៅក្នុង “one time initial configuration” នៃ ឧបករណ៍ អ្នកប្រហែលជាឆ្ងល់ពីរបៀបដែលអ្នកវាយប្រហារអាចជួយបង្កើនចន្លោះប្រហោងនេះបន្ទាប់ ពីឧបករណ៍ត្រូវបានតំឡើងរួចហើយ។
ក្រុមអ្នកស្រាវជ្រាវបានលើកឡើងថាតាមរយៈការផ្ញើសារអំពីការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវជាបន្តទៅ ឧបករណ៍អ្នកវាយប្រហារអាចបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យជឿថាឧបករណ៍នេះដំណើរការមិនត្រឹមត្រូវ ដែលបង្ខំឱ្យគាត់កំណត់រចនាសម្ព័ន្ធវាឡើងវិញ។ “អ្នកវាយប្រហារអាចបង្កឱ្យមានការបង្កើតឡើងវិញនៃ Ring Video Doorbell Pro។ វិធីមួយដើម្បីធ្វើវា គឺត្រូវបញ្ជូន deauthentication packets ដូច្នេះឧបករណ៍នេះត្រូវបានទម្លាក់ចេញពីបណ្តាញឥតខ្សែ។ ត្រង់ចំណុចនេះកម្មវិធីបាត់បង់ការតភ្ជាប់ ហើយប្រាប់អ្នកប្រើប្រាស់ឱ្យកំណត់រចនាសម្ព័ន្ធឡើងវិញ។
“live view button ប្រែទៅជាពណ៌ប្រផេះ ហើយនៅពេលចុចហើយ កម្មវិធីនឹងណែនាំឱ្យ restarting router ឡើងវិញ ឬចុចប៊ូតុង setup ពីរដងនៅលើ doorbell។ ការចុចប៊ូតុងពីរដងនឹងធ្វើឱ្យឧបករណ៍ ព្យាយាមភ្ជាប់បណ្តាញឡើងវិញ – សកម្មភាពដែលនឹងកើតឡើង ការផ្លាស់ប្តូរចុងក្រោយគឺជាការ ព្យាយាម reconfiguration the device ឡើងវិញ”។ នៅពេលដែលម្ចាស់ចូលទៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធដើម្បីចែកចាយអត្តសញ្ញាណសម្គាល់ Wifi ឡើងវិញនោះ អ្នកវាយប្រហារកំពុងលួចចរាចរ ហើយចាប់យកលេខសំងាត់ជារូបភាពធម្មតាដូចដែល បានបង្ហាញនៅក្នុងរូបថតអេក្រង់។ នៅពេលដែលមានពាក្យសម្ងាត់ WIfi របស់អ្នកប្រើអ្នកវាយប្រហារ អាចបើកការវាយប្រហារតាមបណ្តាញផ្សេងៗរួមមាន៖
Interact with all devices within the household network;
Intercept network traffic and run man-in-the-middle attacks
Access all local storage (NAS, for example) and subsequently access private photos, videos and other types of information,
Exploit all vulnerabilities existing in the devices connected to the local network and get full access to each device; that may lead to reading emails and private conversations,
Get access to security cameras and steal video recordings.
Bitdefender បានរកឃើញភាពងាយរងគ្រោះនេះនៅក្នុងឧបករណ៍ Ring Video Doorbell Pro កាលពី ខែមិថុនា ឆ្នាំនេះ ហើយបានរាយការណ៍ដោយទទួលខុសត្រូវទៅក្រុមហ៊ុន Amazon ប៉ុន្តែមិនបាន ទទួលការធ្វើបច្ចុប្បន្នភាពពីក្រុមហ៊ុននោះទេ
នៅពេលស្នើសុំការធ្វើបច្ចុប្បន្នភាពនៅចុងខែកក្កដា អ្នកលក់បានបិទរបាយការណ៍ភាពងាយរងគ្រោះ នៅខែសីហា ហើយបានសម្គាល់វា duplicate ដោយមិននិយាយថាតើភាគីទីបីបានរាយការណ៍បញ្ហា នេះរួចហើយ ឬអត់នោះទេ។ ទោះយ៉ាងណាក៏ដោយបន្ទាប់ពីទំនាក់ទំនងមួយចំនួនជាមួយអ្នកលក់ ការជួសជុលស្វ័យប្រវត្តិសម្រាប់ភាពងាយរងគ្រោះត្រូវបានចេញដោយផ្នែកនៅថ្ងៃទី 5 ខែកញ្ញា។ “ទោះយ៉ាងណាដើម្បីរក្សាសុវត្ថិភាព អ្នកប្រើ Ring Video Doorbell Pro គួរតែធ្វើឱ្យប្រាកដថាពួកគេ បាន update កម្មវិធីជំនាន់ចុងក្រោយ។ ប្រសិនបើដូច្នោះមែន ពួកគេនឹងមានសុវត្ថិភាព”។ ភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពប្រហាក់ប្រហែលគ្នាត្រូវបានគេរកឃើញ និងបញ្ចូលក្នុងឧបករណ៍ Ring Video Doorbell device នៅដើមឆ្នាំ ២០១៦ ដែលកំពុងបង្ហាញលេខកូដ password បណ្តាញ Wifi របស់អ្នកប្រើប្រាស់ឲ្យទៅអ្នកវាយប្រហារ។