En décembre 2021, Amazon a patché une vulnérabilité critique affectant son application Photos pour Android qui aurait pu être exploitée pour voler les « jetons » d’accès d’un utilisateur.
» Le jeton d’accès Amazon est utilisé pour authentifier l’utilisateur à travers plusieurs API Amazon, dont certaines contiennent des données personnelles telles que le nom complet, l’email et l’adresse « , ont déclaré João Morais et Pedro Umbelino, chercheurs chez Checkmarx. « D’autres, comme l’API Amazon Drive, permettent à un attaquant d’accéder pleinement aux fichiers de l’utilisateur« .
La société israélienne de tests de sécurité des applications a signalé le problème à Amazon le 7 novembre 2021, à la suite de quoi le géant technologique a déployé un correctif le 18 décembre 2021.
La fuite résulte d’une mauvaise configuration de l’un des composants de l’application, nommé « com.amazon.gallery.thor.app.activity.ThorViewActivity« , qui est défini dans le fichier AndroidManifest.xml et qui, lorsqu’il est lancé, initie une requête HTTP avec un en-tête contenant le jeton d’accès.
En bref, cela signifie qu’une application externe pourrait envoyer une intention ou un message pour faciliter la communication entre les applications pour lancer le service vulnérable en question et rediriger la requête HTTP vers un serveur contrôlé par un attaquant afin d’extraire le jeton d’accès.
Qualifiant lebBug de « cas de rupture d’authentification« , la société de cybersécurité a déclaré que le problème aurait pu permettre à des applications malveillantes installées sur l’appareil de s’emparer des jetons d’accès, accordant ainsi à l’attaquant des autorisations pour utiliser les API pour des activités ultérieures.
Cela peut aller de la suppression de fichiers et de dossiers dans Amazon Drive à l’exploitation de l’accès pour organiser une attaque par ransomware en lisant, chiffrant et réécrivant les fichiers de la victime tout en effaçant son historique.
Checkmarx a également noté que la vulnérabilité aurait pu avoir un impact plus large étant donné que les API exploitées dans le cadre de sa preuve de concept (PoC) ne constituent qu’un petit sous-ensemble de l’ensemble de l’écosystème Amazon.