Amazon Diam-diam Menambal Kerentanan ‘Keparahan Tinggi’ di Aplikasi Foto Android

Amazon

Amazon, pada Desember 2021, menambal kerentanan tingkat tinggi yang memengaruhi aplikasi Foto untuk Android yang dapat dieksploitasi untuk mencuri token akses pengguna.

“Token akses Amazon digunakan untuk mengautentikasi pengguna di beberapa API Amazon, beberapa di antaranya berisi data pribadi seperti nama lengkap, email, dan alamat,” kata peneliti Checkmarx João Morais dan Pedro Umbelino. “Lainnya, seperti Amazon Drive API, memungkinkan penyerang akses penuh ke file pengguna.”

Perusahaan pengujian keamanan aplikasi Israel melaporkan masalah tersebut ke Amazon pada 7 November 2021, setelah itu raksasa teknologi itu meluncurkan perbaikan pada 18 Desember 2021.

Kebocoran adalah hasil dari kesalahan konfigurasi di salah satu komponen aplikasi bernama “com.amazon.gallery.thor.app.activity.ThorViewActivity” yang didefinisikan dalam file AndroidManifest.xml dan yang, ketika diluncurkan, memulai permintaan HTTP dengan header yang berisi token akses.

Kerentanan Aplikasi Foto Amazon

Singkatnya, itu berarti bahwa aplikasi eksternal dapat mengirim maksud — pesan untuk memfasilitasi komunikasi antar aplikasi — untuk meluncurkan aktivitas rentan yang dimaksud dan mengarahkan permintaan HTTP ke server yang dikendalikan penyerang dan mengekstrak token akses.

Keamanan cyber

Menyebut bug sebagai kasus autentikasi yang rusak, perusahaan keamanan siber mengatakan masalah tersebut dapat memungkinkan aplikasi jahat yang diinstal pada perangkat untuk mengambil token akses, memberikan izin kepada penyerang untuk menggunakan API untuk aktivitas lanjutan.

Ini dapat bervariasi mulai dari menghapus file dan folder di Amazon Drive hingga bahkan mengeksploitasi akses untuk melancarkan serangan ransomware dengan membaca, mengenkripsi, dan menulis ulang file korban sambil menghapus riwayatnya.

Related Post :   Peretas Menggunakan Tawaran Pekerjaan Palsu untuk Meretas dan Mencuri $540 Juta dari Axie Infinity

Checkmarx lebih lanjut mencatat bahwa kerentanan mungkin memiliki dampak yang lebih luas mengingat bahwa API yang dieksploitasi sebagai bagian dari proof-of-concept (PoC) hanya merupakan sebagian kecil dari keseluruhan ekosistem Amazon.


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.