Amazon, en diciembre de 2021, parch\u00f3 una vulnerabilidad de alta gravedad que afectaba a su aplicaci\u00f3n de fotos<\/a> para Android que podr\u00eda haber sido explotado para robar los tokens de acceso de un usuario.<\/p>\n “El token de acceso de Amazon se utiliza para autenticar al usuario en m\u00faltiples API de Amazon, algunas de las cuales contienen datos personales como nombre completo, correo electr\u00f3nico y direcci\u00f3n”, investigadores de Checkmarx Jo\u00e3o Morais y Pedro Umbelino dijo<\/a>. “Otros, como la API de Amazon Drive, permiten que un atacante tenga acceso total a los archivos del usuario”.<\/p>\n La compa\u00f1\u00eda israel\u00ed de pruebas de seguridad de aplicaciones inform\u00f3 el problema a Amazon el 7 de noviembre de 2021, luego de lo cual el gigante tecnol\u00f3gico lanz\u00f3 una soluci\u00f3n el 18 de diciembre de 2021.<\/p>\n La fuga es el resultado de una configuraci\u00f3n incorrecta en uno de los componentes de la aplicaci\u00f3n llamado “com.amazon.gallery.thor.app.activity.ThorViewActivity” que se define en el Archivo AndroidManifest.xml<\/a> y que, cuando se inicia, inicia una solicitud HTTP con un encabezado que contiene el token de acceso.<\/p>\n En pocas palabras, significa que una aplicaci\u00f3n externa podr\u00eda enviar un intenci\u00f3n<\/a> \u2014 un mensaje para facilitar la comunicaci\u00f3n entre aplicaciones \u2014 para iniciar la actividad vulnerable en cuesti\u00f3n y redirigir la solicitud HTTP a un servidor controlado por el atacante y extraer el token de acceso.<\/p>\n![\"Vulnerabilidad](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_302_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\" "\\"Vulnerabilidad")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n