亚马逊悄悄修复安卓相册 app 中的高危漏洞

网络安全公司 Checkmarx 的研究员表示从该 app 中发现了一个漏洞，可导致攻击者窃取用户的亚马逊访问令牌。该令牌用于认证多个亚马逊API。其中很多 API 中含有个人数据如姓名、邮件、地址等。其中一些API 如 Amazon Drive API 可导致黑客完全访问个人文件。

在12月18日发布漏洞补丁前，亚马逊 Photos 安卓 app的下载量超过5000万次。

亚马逊的一名发言人指出，公司“未发现因该问题暴露客户敏感信息的证据”，并表示，“感谢独立安全研究员向我们提出潜在安全问题。我们收到报告后不久发布修复方案。目前并未有证据表明敏感的客户信息因此而被暴露。”

Checkmarx 公司的安全研究副总裁 Erez Yalon 指出，团队发现该 app 多个不同组件的多个问题，并发现安装了正确的恶意app 后，安卓用户的亚马逊访问令牌“可被盗，导致用户易受勒索攻击或更严重的风险。”

他解释称，“问题是由com.amazon.gallery.thor.app.activity.ThorViewActivity 组件的配置不当造成的，该组件被导出在该app的表示文件中，从而使外部应用进行访问。无论该活动何时启动，都会触发一个HTTP请求，带有含客户访问令牌的标头。更重要的是，研究人员发现他们能够控制接收该请求的服务器。该活动由应用使用的意图过滤器声明，判断该请求的目标中包含该访问令牌。”

恶意应用可“发送能够启动易受攻击活动的意图，促使请求被发送至由攻击者控制的服务器中”。

研究人员表示，任何人只要获得访问令牌，就能够修改文件同时擦除用户历史，从而使原始内容无法从历史中恢复。研究人员发现了攻击者可删除他人 Amazon Drive 中文件的其它方式。报告指出，理论上勒索团伙有多种方式利用该缺陷，“恶意人员仅需要读取、加密并重写客户文件，同时擦除历史。另外，本文中所强调的 APIs 仅仅是整个亚马逊生态系统的一个子集，因此具有同样令牌的攻击者很可能可以访问其它Amazon APIs。”

Checkmarx 公司表示已在2021年11月7日，将问题告知亚马逊漏洞研究计划。第二天，亚马逊证实该报告并认为属于“高危问题”。

12月18日，亚马逊宣布称该问题“已修复”且表示“在生产中部署了”修复方案。研究人员表示，“我们知道软件世界中并不存在完全安全的情况。但在全球安全实践方面处于领先地位的亚马逊软件中发现这种漏洞，意味着它可以发生在任何软件公司中。”

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~