被曝高危漏洞,威脅行為者可獲取Amazon Photos文件訪問權限
責編:gltian |2022-06-30 17:24:58近期,Checkmarx的網絡安全研究人員發現了一個影響安卓上的Amazon Photos 應用程序嚴重漏洞,如果該漏洞被行為威脅者利用的話,就可能導致被安裝在手機上的惡意應用程序竊取用戶的亞馬遜訪問令牌。
從技術角度來看,當各種Amazon應用程序接口(API)對用戶進行身份驗證時,就需要Amazon訪問令牌,其中一些接口在攻擊期間可能會暴露用戶的個人身份信息(PII)。其他一些應用程序接口,像Amazon Drive API,可能允許威脅參與者獲得對用戶文件的完全訪問權限。
根據Checkmarx的說法,該漏洞源于照片應用程序組件之一的錯誤配置,這將允許外部應用程序訪問它。每當啟動此應用時,它會觸發一個帶有客戶訪問令牌的HTTP請求,而接收該請求的服務器就能被其控制。
研究人員表示,在掌握這一點后,安裝在受害者手機上的惡意應用程序可能會發送一個指令,并發送請求到攻擊者控制的服務器上。當攻擊者有足夠的操作空間,勒索軟件就很容易成為可能的攻擊載體,惡意操作人員可以讀取、加密和重寫客戶的文件,同時還能刪除他們的歷史記錄。
此外,Checkmarx說,他們在研究中只分析了整個亞馬遜生態系統里的一小部分API,這就意味著使用相同令牌的攻擊者也有可能訪問其他Amazon API。
在發現這組漏洞后,Checkmarx第一時間聯系了Amazon Photos開發團隊。“由于該漏洞的潛在影響很大,并且在實際攻擊場景中成功的可能性很高,亞馬遜認為這是一個嚴重程度很高的問題,并在報告后不久就發布了修復程序。”
參考來源:https://www.infosecurity-magazine.com/news/amazon-fixes-flaw-photos-android/
來源:FreeBuf