被曝高危漏洞,威胁行为者可获取Amazon Photos文件访问权限
2022-6-30 13:8:15 Author: www.freebuf.com(查看原文) 阅读量:11 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近期,Checkmarx的网络安全研究人员发现了一个影响安卓上的Amazon Photos 应用程序严重漏洞,如果该漏洞被行为威胁者利用的话,就可能导致被安装在手机上的恶意应用程序窃取用户的亚马逊访问令牌。

从技术角度来看,当各种Amazon应用程序接口(API)对用户进行身份验证时,就需要Amazon访问令牌,其中一些接口在攻击期间可能会暴露用户的个人身份信息(PII)。其他一些应用程序接口,像Amazon Drive API,可能允许威胁参与者获得对用户文件的完全访问权限。

根据Checkmarx的说法,该漏洞源于照片应用程序组件之一的错误配置,这将允许外部应用程序访问它。每当启动此应用时,它会触发一个带有客户访问令牌的HTTP请求,而接收该请求的服务器就能被其控制。

研究人员表示,在掌握这一点后,安装在受害者手机上的恶意应用程序可能会发送一个指令,并发送请求到攻击者控制的服务器上。当攻击者有足够的操作空间,勒索软件就很容易成为可能的攻击载体,恶意操作人员可以读取、加密和重写客户的文件,同时还能删除他们的历史记录。

此外,Checkmarx说,他们在研究中只分析了整个亚马逊生态系统里的一小部分API,这就意味着使用相同令牌的攻击者也有可能访问其他Amazon API。

在发现这组漏洞后,Checkmarx第一时间联系了Amazon Photos开发团队。“由于该漏洞的潜在影响很大,并且在实际攻击场景中成功的可能性很高,亚马逊认为这是一个严重程度很高的问题,并在报告后不久就发布了修复程序。”

参考来源:https://www.infosecurity-magazine.com/news/amazon-fixes-flaw-photos-android/


文章来源: https://www.freebuf.com/news/337760.html
如有侵权请联系:admin#unsafe.sh