Charles TechCharles Tech
  • Tests High-Tech
    • Smartphones
      • iPhone
      • Asus
      • Huawei
      • Poco
      • Samsung
      • Xiaomi
    • Ordinateurs
      • PC fixe / gamer
      • PC portables
    • Composants PC
      • Cartes Graphiques
      • Processeurs
      • SSD
    • Eléctromenager
      • Aspirateurs robots
    • Périphériques
      • Claviers
      • Souris
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Vous lisez Une ancienne vulnérabilité Amazon Photo patchée sur Android
Font ResizerAa
Charles TechCharles Tech
Font ResizerAa
Rechercher ...
  • Tests High-Tech
    • Smartphones
    • Ordinateurs
    • Composants PC
    • Eléctromenager
    • Périphériques
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Suivez-nous
Charles Tech > Actualité High-Tech : Toutes nos dernières news > Une ancienne vulnérabilité Amazon Photo patchée sur Android

Une ancienne vulnérabilité Amazon Photo patchée sur Android

Louis Touzalin
Louis Touzalin
Published: 01/07/2022
Last updated: 01/07/2022
Ce site utilise des liens affiliés qui participent aux revenus du site. En les utilisant, ça ne vous coûte pas plus cher, mais un pourcentage nous est reversé pour continuer à vous informer et à proposer des tests toujours plus complets.
Partager

En décembre 2021, Amazon a patché une vulnérabilité critique affectant son application Photos pour Android qui aurait pu être exploitée pour voler les « jetons » d’accès d’un utilisateur.

 » Le jeton d’accès Amazon est utilisé pour authentifier l’utilisateur à travers plusieurs API Amazon, dont certaines contiennent des données personnelles telles que le nom complet, l’email et l’adresse « , ont déclaré João Morais et Pedro Umbelino, chercheurs chez Checkmarx. « D’autres, comme l’API Amazon Drive, permettent à un attaquant d’accéder pleinement aux fichiers de l’utilisateur« .

La société israélienne de tests de sécurité des applications a signalé le problème à Amazon le 7 novembre 2021, à la suite de quoi le géant technologique a déployé un correctif le 18 décembre 2021.

La fuite résulte d’une mauvaise configuration de l’un des composants de l’application, nommé « com.amazon.gallery.thor.app.activity.ThorViewActivity« , qui est défini dans le fichier AndroidManifest.xml et qui, lorsqu’il est lancé, initie une requête HTTP avec un en-tête contenant le jeton d’accès.

D'autres articles intéressants

Le OnePlus Ace Pro avec charge 150W arrivera le 3 août
Rentrée 2020 : comment choisir ses forfaits internet et mobile ?
Apple Intelligence : Tout savoir sur la nouvelle ère de l’IA générative
Des utilisateurs de Google Pixel signalent de sérieux problèmes après une mise à jour
Le nouveau smartphone Nothing Phone (2) sera fabriqué en Inde

Amazon Burpsuite

En bref, cela signifie qu’une application externe pourrait envoyer une intention ou un message pour faciliter la communication entre les applications pour lancer le service vulnérable en question et rediriger la requête HTTP vers un serveur contrôlé par un attaquant afin d’extraire le jeton d’accès.

Qualifiant lebBug de « cas de rupture d’authentification« , la société de cybersécurité a déclaré que le problème aurait pu permettre à des applications malveillantes installées sur l’appareil de s’emparer des jetons d’accès, accordant ainsi à l’attaquant des autorisations pour utiliser les API pour des activités ultérieures.

Cela peut aller de la suppression de fichiers et de dossiers dans Amazon Drive à l’exploitation de l’accès pour organiser une attaque par ransomware en lisant, chiffrant et réécrivant les fichiers de la victime tout en effaçant son historique.

Checkmarx a également noté que la vulnérabilité aurait pu avoir un impact plus large étant donné que les API exploitées dans le cadre de sa preuve de concept (PoC) ne constituent qu’un petit sous-ensemble de l’ensemble de l’écosystème Amazon.

Partager cet article
Facebook Email Copy Link Imprimer
Laisser une note

Laisser une note Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Sélectionnez une note

Notre partenaire

H9 Banner 300x600 FR

Réseaux sociaux

23kLike
38kSuivre
170Suivre
2.8kAbonnement
10.8kSuivre
1.1kSuivre
34Suivre

Vous aimerez aussi ...

Coinbase préparerait une entrée en bourse

14/09/2021
découvrez notre guide complet sur l'alimentation 12v pour 2x6 cartes graphiques. optimisez votre configuration avec des conseils sur les meilleures pratiques, le choix des alimentations adaptées et les caractéristiques essentielles pour une performance optimale de votre système.

Une alimentation 12V-2×6 pour les futures cartes graphiques AMD Radeon et Intel Arc ?

05/04/2025
Aqara Voice Mate H1

Aqara présenté tout un lot de nouveaux produits à l’IFA

05/09/2024

Motorola Frontier : Un capteur 194 MP pour un smartphone très haut de gamme

18/02/2022

A ne pas louper !

honor 400 appareil photo
Honor 400 : une offre de lancement prolongée jusqu’au 23 juin 
Bons plans
honor 400 appareil photo
Le Honor 400 est à un prix défiant toute concurrence pour son lancement
Bons plans
iphone 16 batterie problemes
iPhone 16 Pro Max : Comment l’acheter en plusieurs fois sans se ruiner ?
Bons plans
  • Annoncer sur CharlesTech
  • Mentions légales
  • Contactez nous
  • À propos
  • Plan de site
© Charles Tech 2017 - 2025 - Toute reproduction (même partielle) interdite sous peine de poursuites.
Re !

Connectez-vous

Username or Email Address
Password

Vous avez perdu votre mot de passe ?