Amazon Photos Androidアプリの脆弱性

サイバーセキュリティ会社のCheckmarxは、悪意のあるアプリがAmazonアクセストークンを盗むことを可能にした可能性のあると発表しました。

Amazon Photos Android アプリケーションには、緊急度の高い脆弱性があるとし、関連する詳細を公開しました。

5,000万以上のダウンロードを誇るAmazonPhotosは、クラウドストレージを提供し、ユーザーが写真やビデオを元の品質で保存したり、写真を印刷して共有したり、複数のAmazonデバイスに表示したりできるようなっています。

2021年11月、Checkmarxの研究者は、Amazonアクセストークンをユーザーのデバイス上の悪意のあるアプリケーションに漏れ、ユーザーの個人情報が公開される可能性のあるアプリケーションの問題を特定しました。

このバグは2021年12月に対処されています。

リークされたAmazonアクセストークンは、名前、住所、メールアドレスなどの個人情報を含むも​​のを含め、AmazonAPI全体のユーザー認証に使用されます。

たとえば、Amazon Drive APIを介して、攻撃者はユーザーのファイルにアクセスする可能性があるとCheckmarxは言います。

この問題は、アプリのマニフェストファイルにエクスポートされた誤って構成されたコンポーネントにあり、外部アプリケーションがアクセスできるようになっていると研究者は説明しています。

この問題により、HTTPリクエストのヘッダーでアクセストークンが送信されましたが、最も重要な側面は、攻撃者がこのリクエストを受信するサーバーを制御できるという事実でした。

「アクティビティは、アクセストークンを含むリクエストの宛先を決定するためにアプリケーションが使用するインテントフィルターを使用して宣言されます。これを知っていると、被害者の端末にインストールされた悪意のあるアプリケーションが、脆弱なアクティビティを効果的に起動し、攻撃者が制御するサーバーにリクエストを送信するようにトリガーするインテントを送信できる可能性があります。」とCheckmarxは述べています。

リークされたトークンは、攻撃者にAmazonAPIを介して利用可能なすべてのユーザー情報へのアクセスを提供する可能性があります。

攻撃者はAmazonDriveAPIを使用して、ユーザーのファイルにアクセスし、そのコンテンツの読み取り、再書き込み、または削除を行う可能性があります。

研究者はまた、アクセストークンにより、誰でもファイルを変更して履歴を消去したり、リカバリを防止したり、ユーザーのAmazonDriveアカウントからファイルやフォルダーを完全に削除したりできる可能性があると説明しています。

「これらすべてのオプションが攻撃者に利用可能であるため、ランサムウェアのシナリオは、攻撃の可能性のあるベクトルとして簡単に思い付くことができました。悪意のある攻撃者は、顧客の履歴を消去しながら、顧客のファイルを読み取り、暗号化、および再書き込みするだけで済みます」と研究者は述べています。

研究者が特定した潜在的に影響を受けるAPIは、Amazonエコシステム全体のごく一部にすぎないことを考えると、この脆弱性はより広い影響を及ぼした可能性があると、Checkmarxも指摘しています。