Une ancienne vulnérabilité Amazon Photo patchée sur Android
Charles Gouin-Peyrot
Publié le 01 juillet 2022 · 2 min de lecture
Suivre
Google News
En décembre 2021, Amazon a patché une vulnérabilité critique affectant son application Photos pour Android qui aurait pu être exploitée pour voler les "jetons" d'accès d'un utilisateur.
En bref, cela signifie qu'une application externe pourrait envoyer une intention ou un message pour faciliter la communication entre les applications pour lancer le service vulnérable en question et rediriger la requête HTTP vers un serveur contrôlé par un attaquant afin d'extraire le jeton d'accès.
Qualifiant lebBug de "cas de rupture d'authentification", la société de cybersécurité a déclaré que le problème aurait pu permettre à des applications malveillantes installées sur l'appareil de s'emparer des jetons d'accès, accordant ainsi à l'attaquant des autorisations pour utiliser les API pour des activités ultérieures.
Cela peut aller de la suppression de fichiers et de dossiers dans Amazon Drive à l'exploitation de l'accès pour organiser une attaque par ransomware en lisant, chiffrant et réécrivant les fichiers de la victime tout en effaçant son historique.
Checkmarx a également noté que la vulnérabilité aurait pu avoir un impact plus large étant donné que les API exploitées dans le cadre de sa preuve de concept (PoC) ne constituent qu'un petit sous-ensemble de l'ensemble de l'écosystème Amazon.
" Le jeton d'accès Amazon est utilisé pour authentifier l'utilisateur à travers plusieurs API Amazon, dont certaines contiennent des données personnelles telles que le nom complet, l'email et l'adresse ", ont déclaré João Morais et Pedro Umbelino, chercheurs chez Checkmarx. "D'autres, comme l'API Amazon Drive, permettent à un attaquant d'accéder pleinement aux fichiers de l'utilisateur".La société israélienne de tests de sécurité des applications a signalé le problème à Amazon le 7 novembre 2021, à la suite de quoi le géant technologique a déployé un correctif le 18 décembre 2021. La fuite résulte d'une mauvaise configuration de l'un des composants de l'application, nommé "com.amazon.gallery.thor.app.activity.ThorViewActivity", qui est défini dans le fichier AndroidManifest.xml et qui, lorsqu'il est lancé, initie une requête HTTP avec un en-tête contenant le jeton d'accès.
En bref, cela signifie qu'une application externe pourrait envoyer une intention ou un message pour faciliter la communication entre les applications pour lancer le service vulnérable en question et rediriger la requête HTTP vers un serveur contrôlé par un attaquant afin d'extraire le jeton d'accès.
Qualifiant lebBug de "cas de rupture d'authentification", la société de cybersécurité a déclaré que le problème aurait pu permettre à des applications malveillantes installées sur l'appareil de s'emparer des jetons d'accès, accordant ainsi à l'attaquant des autorisations pour utiliser les API pour des activités ultérieures.
Cela peut aller de la suppression de fichiers et de dossiers dans Amazon Drive à l'exploitation de l'accès pour organiser une attaque par ransomware en lisant, chiffrant et réécrivant les fichiers de la victime tout en effaçant son historique.
Checkmarx a également noté que la vulnérabilité aurait pu avoir un impact plus large étant donné que les API exploitées dans le cadre de sa preuve de concept (PoC) ne constituent qu'un petit sous-ensemble de l'ensemble de l'écosystème Amazon. L'auteur
Charles Gouin-Peyrot
Journaliste tech et testeur indépendant, je décrypte la tech grand public. Spécialisé dans le hardware, l'audio et la maison connectée, je mets ma rigueur technique et mon expérience de formateur au service de mes tests. Mon objectif est simple : dépasser les fiches techniques pour vous livrer des analyses transparentes, impartiales et ancrées dans un usage 100 % réel.
