聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
網絡安全公司 Checkmarx 的研究員表示從該 app 中發現了一個漏洞,可導致攻擊者竊取用戶的亞馬遜訪問令牌。該令牌用於認證多個亞馬遜API。其中很多 API 中含有個人數據如姓名、郵件、地址等。其中一些API 如 Amazon Drive API 可導致黑客完全訪問個人文件。
在12月18日發布漏洞補丁前,亞馬遜 Photos 安卓 app的下載量超過5000萬次。
亞馬遜的一名發言人指出,公司「未發現因該問題暴露客戶敏感信息的證據」,並表示,「感謝獨立安全研究員向我們提出潛在安全問題。我們收到報告後不久發布修複方案。目前並未有證據表明敏感的客戶信息因此而被暴露。」
Checkmarx 公司的安全研究副總裁 Erez Yalon 指出,團隊發現該 app 多個不同組件的多個問題,並發現安裝了正確的惡意app 後,安卓用戶的亞馬遜訪問令牌「可被盜,導致用戶易受勒索攻擊或更嚴重的風險。」
他解釋稱,「問題是由com.amazon.gallery.thor.app.activity.ThorViewActivity 組件的配置不當造成的,該組件被導出在該app的表示文件中,從而使外部應用進行訪問。無論該活動何時啟動,都會觸發一個HTTP請求,帶有含客戶訪問令牌的標頭。更重要的是,研究人員發現他們能夠控制接收該請求的服務器。該活動由應用使用的意圖過濾器聲明,判斷該請求的目標中包含該訪問令牌。」
惡意應用可「發送能夠啟動易受攻擊活動的意圖,促使請求被發送至由攻擊者控制的服務器中」。
研究人員表示,任何人只要獲得訪問令牌,就能夠修改文件同時擦除用戶歷史,從而使原始內容無法從歷史中恢復。研究人員發現了攻擊者可刪除他人 Amazon Drive 中文件的其它方式。報告指出,理論上勒索團伙有多種方式利用該缺陷,「惡意人員僅需要讀取、加密並重寫客戶文件,同時擦除歷史。另外,本文中所強調的 APIs 僅僅是整個亞馬遜生態系統的一個子集,因此具有同樣令牌的攻擊者很可能可以訪問其它Amazon APIs。」
Checkmarx 公司表示已在2021年11月7日,將問題告知亞馬遜漏洞研究計劃。第二天,亞馬遜證實該報告並認為屬於「高危問題」。
12月18日,亞馬遜宣布稱該問題「已修復」且表示「在生產中部署了」修複方案。研究人員表示,「我們知道軟件世界中並不存在完全安全的情況。但在全球安全實踐方面處於領先地位的亞馬遜軟件中發現這種漏洞,意味着它可以發生在任何軟件公司中。」
https://therecord.media/amazon-quietly-patches-high-severity-android-photos-app-vulnerability/
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表