Amazone

Amazon, en décembre 2021, a corrigé une vulnérabilité de haute gravité affectant son Application photos pour Android qui aurait pu être exploitée pour voler les jetons d’accès d’un utilisateur.

« Le jeton d’accès Amazon est utilisé pour authentifier l’utilisateur sur plusieurs API Amazon, dont certaines contiennent des données personnelles telles que le nom complet, l’e-mail et l’adresse », ont déclaré João Morais et Pedro Umbelino, chercheurs de Checkmarx. a dit. « D’autres, comme l’API Amazon Drive, permettent à un attaquant d’avoir un accès complet aux fichiers de l’utilisateur. »

La société israélienne de test de sécurité des applications a signalé le problème à Amazon le 7 novembre 2021, après quoi le géant de la technologie a déployé un correctif le 18 décembre 2021.

La fuite est le résultat d’une mauvaise configuration dans l’un des composants de l’application nommé « com.amazon.gallery.thor.app.activity.ThorViewActivity » qui est défini dans le Fichier AndroidManifest.xml et qui, lorsqu’il est lancé, initie une requête HTTP avec un en-tête contenant le jeton d’accès.

Vulnérabilité De L'application Amazon Photo

En un mot, cela signifie qu’une application externe pourrait envoyer un intention – un message pour faciliter la communication entre les applications – pour lancer l’activité vulnérable en question et rediriger la requête HTTP vers un serveur contrôlé par l’attaquant et extraire le jeton d’accès.

Publicité
La Cyber-Sécurité

Appelant le bogue un cas d’authentification cassée, la société de cybersécurité a déclaré que le problème aurait pu permettre aux applications malveillantes installées sur l’appareil de saisir les jetons d’accès, accordant à l’attaquant les autorisations d’utiliser les API pour les activités de suivi.

Cela peut aller de la suppression de fichiers et de dossiers dans Amazon Drive à même l’exploitation de l’accès pour organiser une attaque de ransomware en lisant, cryptant et réécrivant les fichiers d’une victime tout en effaçant son historique.

Checkmarx a en outre noté que la vulnérabilité aurait pu avoir un impact plus large étant donné que les API exploitées dans le cadre de sa preuve de concept (PoC) ne constituent qu’un petit sous-ensemble de l’ensemble de l’écosystème Amazon.

Rate this post
Publicité
Article précédentLe rapport de Kaspersky met en évidence les schémas d’attaque courants des ransomwares
Article suivantComment imprimer des documents dans Microsoft Office 2016
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici