50 milyondan fazla indirilen Amazon Fotoğrafları Android Uygulamasındaki yüksek önemdeki bir kusur, saldırganların bir kullanıcının Amazon erişim jetonunu çalmasına ve bunu birden fazla Amazon API’sine erişmek için kullanmasına izin verebilir.
Checkmarx’taki ekip, Amazon’u aşağıdaki güvenlik açığındaki bozuk kimlik doğrulama güvenlik açığı konusunda uyardı. Android için Amazon Fotoğraf Uygulamasıkullanıcıların mobil fotoğrafları paylaşmasına, yazdırmasına ve saklamasına olanak tanır.
Analistler, hatanın, uygulamanın bildirim dosyasındaki bir bileşen yanlış yapılandırmasından kaynaklandığını söyledi.
Ekip, “Bu etkinlik başlatıldığında, müşterinin erişim belirteciyle bir başlık taşıyan bir HTTP isteğini tetikler” dedi. İsteği aldıktan sonra analistler, sunucunun kontrolünü de ele geçirebileceklerini keşfettiler.
Raporda, “Bir saldırgan için tüm bu seçenekler mevcutken, olası bir saldırı vektörü olarak bir fidye yazılımı senaryosunun ortaya çıkması kolaydı. Kötü niyetli bir aktörün müşterinin dosyalarını silerken okuması, şifrelemesi ve yeniden yazması yeterli olacaktır. onların tarihi.”
Kendilerini korumak için, kullanıcılar uygulamanın en son sürümüne güncelleme yapmalıdır. Checkmarx araştırmacıları, kullanıcılar uygulamayı o zamandan beri güncellemediyse, 18 Aralık’tan önce yapılan indirmelerin etkilendiğini söyledi.
