被曝高危漏洞,威脅行為者可獲取Amazon Photos文件訪問權(quán)限

發(fā)布時間 2022-07-01

1656565652_62bd2f942d0a11a0c4eeb.jpg

近期,Checkmarx的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個影響安卓上的Amazon Photos 應(yīng)用程序嚴重漏洞,如果該漏洞被行為威脅者利用的話,就可能導(dǎo)致被安裝在手機上的惡意應(yīng)用程序竊取用戶的亞馬遜訪問令牌。

從技術(shù)角度來看,當(dāng)各種Amazon應(yīng)用程序接口(API)對用戶進行身份驗證時,就需要Amazon訪問令牌,其中一些接口在攻擊期間可能會暴露用戶的個人身份信息(PII)。其他一些應(yīng)用程序接口,像Amazon Drive API,可能允許威脅參與者獲得對用戶文件的完全訪問權(quán)限。

根據(jù)Checkmarx的說法,該漏洞源于照片應(yīng)用程序組件之一的錯誤配置,這將允許外部應(yīng)用程序訪問它。每當(dāng)啟動此應(yīng)用時,它會觸發(fā)一個帶有客戶訪問令牌的HTTP請求,而接收該請求的服務(wù)器就能被其控制。

研究人員表示,在掌握這一點后,安裝在受害者手機上的惡意應(yīng)用程序可能會發(fā)送一個指令,并發(fā)送請求到攻擊者控制的服務(wù)器上。當(dāng)攻擊者有足夠的操作空間,勒索軟件就很容易成為可能的攻擊載體,惡意操作人員可以讀取、加密和重寫客戶的文件,同時還能刪除他們的歷史記錄。

此外,Checkmarx說,他們在研究中只分析了整個亞馬遜生態(tài)系統(tǒng)里的一小部分API,這就意味著使用相同令牌的攻擊者也有可能訪問其他Amazon API。

在發(fā)現(xiàn)這組漏洞后,Checkmarx第一時間聯(lián)系了Amazon Photos開發(fā)團隊。“由于該漏洞的潛在影響很大,并且在實際攻擊場景中成功的可能性很高,亞馬遜認為這是一個嚴重程度很高的問題,并在報告后不久就發(fā)布了修復(fù)程序?!?/p>