亚马逊悄悄修补Android Photos应用程序中的“高严重性”漏洞

2021 12月，亚马逊修补了影响其Android Photos应用程序的严重漏洞，该漏洞可能被用来窃取用户的访问令牌。

“亚马逊访问令牌用于跨多个亚马逊API对用户进行身份验证，其中一些API包含个人数据，如全名、电子邮件和地址，”Checkmarx研究人员乔·莫利斯（João Morais）和佩德罗·翁贝利诺（Pedro Umbelino）说。“其他的，如Amazon Drive API，允许攻击者完全访问用户的文件”。

以色列应用程序安全测试公司于2021 11月7日向亚马逊报告了这个问题，随后这家科技巨头于2021 12月18日推出了一个修复程序。

该漏洞是由于AndroidManifest中定义的应用程序组件“com.amazon.gallery.thor.app.activity.ThorViewActivity”中的一个配置错误造成的。xml文件，启动时，该文件使用包含访问令牌的标头启动HTTP请求。

简而言之，这意味着外部应用程序可以发送意图#8212；促进应用程序之间通信的消息#8212；启动有问题的易受攻击活动，将HTTP请求重定向到攻击者控制的服务器，并提取访问令牌。

这家网络安全公司称该漏洞是身份验证被破坏的情况，并表示该问题可能使安装在设备上的恶意应用程序能够获取访问令牌，从而授予攻击者使用API进行后续活动的权限。

这可能不同于删除Amazon Drive中的文件和文件夹，甚至可以通过读取、加密和重写受害者的文件来利用访问来发动勒索软件攻击，同时删除其历史记录。

Checkmarx进一步指出，鉴于作为概念验证（PoC）一部分的API仅构成整个亚马逊生态系统的一小部分，该漏洞可能会产生更广泛的影响。