آمازون در دسامبر 2021 یک آسیبپذیری با شدت بالا را اصلاح کرد که بر برنامه Photos اندروید تأثیر میگذاشت و میتوانست برای سرقت توکنهای دسترسی کاربر مورد استفاده قرار گیرد.
João Morais و Pedro Umbelino از محققان Checkmarx گفتند که توکن دسترسی آمازون برای احراز هویت کاربر در چندین API آمازون استفاده میشود که برخی از آنها حاوی اطلاعات شخصی مانند نام کامل، ایمیل و آدرس هستند. سایر برنامهها مانند Amazon Drive API نیز به مهاجم اجازه دسترسی کامل به فایلهای کاربر را میدهند.
این نقص نتیجه پیکربندی نادرست در یکی از مؤلفههای برنامه به نام «com.amazon.gallery.thor.app.activity.ThorViewActi vity» است که در فایل AndroidManifest.xml تعریف شده است و هنگام راهاندازی، درخواست HTTP را با یک هدر حاوی توکن دسترسی آغاز میکند.
این شرکت با نامیدن این باگ بعنوان یک شکست در احراز هویت، گفت که این مشکل میتواند برنامههای مخرب نصب شده روی دستگاه را فعال کند تا توکنهای دسترسی را بگیرند و به مهاجم اجازه استفاده از APIها را برای فعالیتهای بعدی بدهد.
این حملات میتواند از حذف فایلها و پوشهها در Amazon Drive گرفته تا حتی بهرهبرداری از دسترسی برای انجام یک حمله باجافزاری با خواندن، رمزگذاری و بازنویسی فایلهای قربانی و در عین حال پاک کردن تاریخچه آنها متفاوت باشد.
João Morais و Pedro Umbelino از محققان Checkmarx گفتند که توکن دسترسی آمازون برای احراز هویت کاربر در چندین API آمازون استفاده میشود که برخی از آنها حاوی اطلاعات شخصی مانند نام کامل، ایمیل و آدرس هستند. سایر برنامهها مانند Amazon Drive API نیز به مهاجم اجازه دسترسی کامل به فایلهای کاربر را میدهند.
این نقص نتیجه پیکربندی نادرست در یکی از مؤلفههای برنامه به نام «com.amazon.gallery.thor.app.activity.ThorViewActi vity» است که در فایل AndroidManifest.xml تعریف شده است و هنگام راهاندازی، درخواست HTTP را با یک هدر حاوی توکن دسترسی آغاز میکند.
این شرکت با نامیدن این باگ بعنوان یک شکست در احراز هویت، گفت که این مشکل میتواند برنامههای مخرب نصب شده روی دستگاه را فعال کند تا توکنهای دسترسی را بگیرند و به مهاجم اجازه استفاده از APIها را برای فعالیتهای بعدی بدهد.
این حملات میتواند از حذف فایلها و پوشهها در Amazon Drive گرفته تا حتی بهرهبرداری از دسترسی برای انجام یک حمله باجافزاری با خواندن، رمزگذاری و بازنویسی فایلهای قربانی و در عین حال پاک کردن تاریخچه آنها متفاوت باشد.