Amazon, Aralık 2021’de, yüksek önem derecesine sahip bir güvenlik açığını yamaladı Fotoğraflar uygulaması bir kullanıcının erişim belirteçlerini çalmak için istismar edilmiş olabilecek Android için.
Checkmarx araştırmacıları João Morais ve Pedro Umbelino, “Amazon erişim belirteci, bazıları tam ad, e-posta ve adres gibi kişisel verileri içeren birden fazla Amazon API’sinde kullanıcının kimliğini doğrulamak için kullanılır.” söz konusu. “Amazon Drive API gibi diğerleri, bir saldırganın kullanıcının dosyalarına tam erişimine izin verir.”
İsrailli uygulama güvenliği test şirketi, sorunu 7 Kasım 2021’de Amazon’a bildirdi ve ardından teknoloji devi 18 Aralık 2021’de bir düzeltme yayınladı.
Sızıntı, uygulamanın içinde tanımlanan “com.amazon.gallery.thor.app.activity.ThorViewActivity” adlı uygulama bileşenlerinden birinde yapılan yanlış yapılandırmanın sonucudur. AndroidManifest.xml dosyası ve başlatıldığında, erişim belirtecini içeren bir üstbilgi ile bir HTTP isteği başlatır.
Özetle, harici bir uygulamanın bir niyet — uygulamalar arasında iletişimi kolaylaştırmak için bir mesaj — söz konusu güvenlik açığı bulunan etkinliği başlatmak ve HTTP isteğini saldırgan tarafından kontrol edilen bir sunucuya yönlendirmek ve erişim belirtecini çıkarmak için.
Hatayı bozuk bir kimlik doğrulama vakası olarak nitelendiren siber güvenlik şirketi, sorunun cihaza yüklenen kötü amaçlı uygulamaların erişim belirteçlerini ele geçirmesini ve saldırganın takip faaliyetleri için API’leri kullanmasına izin vermesini sağlayabileceğini söyledi.
Bu, Amazon Drive’daki dosya ve klasörleri silmekten, kurbanın geçmişini silerken dosyalarını okuyarak, şifreleyerek ve yeniden yazarak bir fidye yazılımı saldırısı düzenlemek için erişimden yararlanmaya kadar değişebilir.
Checkmarx ayrıca, kavram kanıtının (PoC) bir parçası olarak yararlanılan API’lerin tüm Amazon ekosisteminin yalnızca küçük bir alt kümesini oluşturması nedeniyle güvenlik açığının daha geniş bir etkiye sahip olabileceğini belirtti.