Vào tháng 12 năm 2021, Amazon đã vá một lỗ hổng có mức độ nghiêm trọng cao ảnh hưởng đến ứng dụng Photos dành cho Android có thể đã bị khai thác để đánh cắp token của người dùng.
Các chuyên gia của Checkmarx cho biết: “mã thông báo truy cập Amazon được sử dụng để xác thực người dùng trên nhiều API của Amazon được sử dụng để xác thực người dùng trên nhiều API của Amazon, một số chứa dữ liệu cá nhân như tên, mail và địa chỉ người dùng. Một số API khác, như API Amazon Drive, cho phép kẻ tấn công toàn quyền truy cập vào các tệp của người dùng.”
Công ty kiểm thử bảo mật ứng dụng của Israel đã báo cáo vấn đề với Amazon vào ngày 7 tháng 11 năm 2021, sau đó gã khổng lồ công nghệ này đã triển khai bản sửa lỗi vào ngày 18 tháng 12 năm 2021.
Sự cố là kết quả của việc cấu hình sai một trong các thành phần của ứng dụng có tên “com.amazon.gallery.thor.app.activity.ThorViewActivity” trong file AndroidManifest.xml, khi chạy sẽ gửi HTTP request với header chứa mã thông báo truy cập.
Như vậy, một ứng dụng ngoài có thể gửi thông điệp giao tiếp giữa các ứng dụng để chạy luồng hoạt động dễ bị tấn công và chuyển hướng HTTP request đến máy chủ C&C nhằm đánh cắp mã truy cập.
Các chuyên gia gọi đây là lỗi xác thực hỏng, có thể đã cho phép các ứng dụng độc hại được cài đặt trên thiết bị lấy mã thông báo truy cập, cấp cho kẻ tấn công quyền sử dụng API của các hoạt động tiếp theo.
Cuối cùng, lỗi này có thể cho phép hacker thực hiện xoa tệp và thư mục trong Amazon Drive, thậm chí leo thang đặc quyền để thực hiện các cuộc tấn công ransomware.
Checkmarx lưu ý thêm rằng lỗ hổng bảo mật có thể có tác động rộng hơn do các API được khai thác như một phần của bằng chứng khái niệm (PoC) chỉ một tập hợp nhỏ của toàn bộ hệ sinh thái Amazon.
Theo The hacker news
