被曝高危漏洞,威脅行為者可獲取Amazon Photos文件訪問權(quán)限

發(fā)布時(shí)間 2022-07-01

1656565652_62bd2f942d0a11a0c4eeb.jpg

近期,Checkmarx的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個(gè)影響安卓上的Amazon Photos 應(yīng)用程序嚴(yán)重漏洞,如果該漏洞被行為威脅者利用的話,就可能導(dǎo)致被安裝在手機(jī)上的惡意應(yīng)用程序竊取用戶的亞馬遜訪問令牌。

從技術(shù)角度來看,當(dāng)各種Amazon應(yīng)用程序接口(API)對(duì)用戶進(jìn)行身份驗(yàn)證時(shí),就需要Amazon訪問令牌,其中一些接口在攻擊期間可能會(huì)暴露用戶的個(gè)人身份信息(PII)。其他一些應(yīng)用程序接口,像Amazon Drive API,可能允許威脅參與者獲得對(duì)用戶文件的完全訪問權(quán)限。

根據(jù)Checkmarx的說法,該漏洞源于照片應(yīng)用程序組件之一的錯(cuò)誤配置,這將允許外部應(yīng)用程序訪問它。每當(dāng)啟動(dòng)此應(yīng)用時(shí),它會(huì)觸發(fā)一個(gè)帶有客戶訪問令牌的HTTP請(qǐng)求,而接收該請(qǐng)求的服務(wù)器就能被其控制。

研究人員表示,在掌握這一點(diǎn)后,安裝在受害者手機(jī)上的惡意應(yīng)用程序可能會(huì)發(fā)送一個(gè)指令,并發(fā)送請(qǐng)求到攻擊者控制的服務(wù)器上。當(dāng)攻擊者有足夠的操作空間,勒索軟件就很容易成為可能的攻擊載體,惡意操作人員可以讀取、加密和重寫客戶的文件,同時(shí)還能刪除他們的歷史記錄。

此外,Checkmarx說,他們?cè)谘芯恐兄环治隽苏麄€(gè)亞馬遜生態(tài)系統(tǒng)里的一小部分API,這就意味著使用相同令牌的攻擊者也有可能訪問其他Amazon API。

在發(fā)現(xiàn)這組漏洞后,Checkmarx第一時(shí)間聯(lián)系了Amazon Photos開發(fā)團(tuán)隊(duì)?!坝捎谠撀┒吹臐撛谟绊懞艽?,并且在實(shí)際攻擊場景中成功的可能性很高,亞馬遜認(rèn)為這是一個(gè)嚴(yán)重程度很高的問題,并在報(bào)告后不久就發(fā)布了修復(fù)程序。”