摘要: 稿源:TheHackerNews 中文化:游侠安全网 亚马逊于 2021 年 12 月修补了一个影响其 Android照片应用程序的高严重性漏洞,该漏洞可能已被利用来窃取用户的访问令牌。 “亚马逊访问令牌用于跨多个亚马逊 API 对用户进行身份验证,其中一些...
亚马逊于 2021 年 12 月修补了一个影响其 Android照片应用程序的高严重性漏洞,该漏洞可能已被利用来窃取用户的访问令牌。
“亚马逊访问令牌用于跨多个亚马逊 API 对用户进行身份验证,其中一些 API 包含个人数据,例如全名、电子邮件和地址,”Checkmarx 研究人员 João Morais 和 Pedro Umbelino说。“其他的,比如 Amazon Drive API,允许攻击者完全访问用户的文件。”
这家以色列应用程序安全测试公司于 2021 年 11 月 7 日向亚马逊报告了该问题,随后这家科技巨头于 2021 年 12 月 18 日推出了修复程序。
泄漏是由于在AndroidManifest.xml 文件中定义的名为“com.amazon.gallery.thor.app.activity.ThorViewActivity”的应用程序组件之一配置错误造成的,该组件在启动时会使用包含访问令牌的标头。
简而言之,这意味着外部应用程序可以发送意图(促进应用程序之间通信的消息)来启动有问题的易受攻击的活动并将 HTTP 请求重定向到攻击者控制的服务器并提取访问令牌。
这家网络安全公司将该漏洞称为身份验证失败,并表示该问题可能使安装在设备上的恶意应用程序能够获取访问令牌,从而授予攻击者使用 API 进行后续活动的权限。
这可能会有所不同,从删除 Amazon Drive 中的文件和文件夹到甚至利用访问权限通过读取、加密和重写受害者的文件,同时擦除他们的历史记录来发动勒索软件攻击。
Checkmarx 进一步指出,鉴于作为其概念验证 (PoC) 的一部分被利用的 API 仅构成整个亚马逊生态系统的一小部分,该漏洞可能会产生更广泛的影响。