Android Photos 应用存漏洞，亚马逊进行紧急修复

超过5000万次下载的亚马逊照片应用存在高危漏洞，调查发现该漏洞出在配置错误上。值得庆幸的是，亚马逊安全团队能够及时发现该漏洞，并立刻进行紧急修复。目前，已经修复好漏洞，并且查看日志也没有找到漏洞被利用的证据。

关于Amazon Photos

Amazon Photos 是一个图像和视频存储应用程序，使用户能够与最多五个家庭成员无缝共享他们的快照，提供强大的管理和组织功能。

Checkmarx 的研究人员发现一个影响 Android 上 Amazon Photos 应用程序的严重漏洞。如果被利用，该漏洞可能允许安装在用户手机上的恶意应用程序窃取他们的亚马逊访问令牌。从技术角度来看，亚马逊访问令牌用于跨各种亚马逊应用程序接口 (API) 对用户进行身份验证，其中一些包含可能在攻击期间暴露的个人身份信息 (PII)。

这些 API 可能包含敏感的个人信息，如全名、电子邮件和实际地址，而其他 API（如 Amazon Drive API）则保存用户文件。利用漏洞易受攻击的组件是“com.amazon.gallery.thor.app.activity.ThorViewActivity”，它在启动时会触发一个 HTTP 请求，其中包含带有用户令牌的标头。

根据 Checkmarx 的说法，该漏洞源于照片应用程序组件之一的错误配置，这将允许外部应用程序访问它。 包含在恶意端点收到的 Amazon 令牌的请求 (Checkmarx)分析师使用获取的令牌探索了各种利用场景，例如在受害者的 Amazon Drive 云存储上执行文件操作、擦除历史记录以使已删除的数据无法恢复等等。

漏洞的潜在影响很大

“有了所有这些可供攻击者使用的选项，勒索软件场景很容易成为可能的攻击媒介，”Checkmarx 详细说明“恶意行为者只需要读取、加密和重写客户的文件，同时擦除他们的历史记录。”其他亚马逊 API 可能使用相同的令牌，如 Prime Video、Alexa、Kindle 等，因此漏洞的潜在影响很大。

披露和修复

发现这组漏洞后， 2021 年 11 月 7 日Checkmarx向亚马逊报告了该问题，由于漏洞的潜在影响很大，亚马逊将其归类为高严重性漏洞。2021 年 12 月 18 日，亚马逊通知 Checkmarx，他们已通过部署到生产环境中的安全更新解决了这些问题。

隐私和安全是亚马逊设计和交付设备、功能和体验的基础，在安全研究人员的帮助下，亚马逊能否及时发现漏洞，并在不久后发布了针对漏洞的修复程序。亚马逊表示，目前没有证据表明客户的敏感信息因此问题而被泄露。