Dans la plus grande discrétion, Amazon a corrigé une faille grave de son application Photos

04 juillet 2022 à 10h10
5
sécurité faille vulnérabilité  #disc

En catimini, le géant Amazon a corrigé une faille d’importance au sein de son application Photos sur Android.

Voilà une faille passée (heureusement) inaperçue mais qui aurait pourtant pu être lourde de conséquences.

Amazon Photos : une faille critique discrètement corrigée

En novembre dernier, des chercheurs de Checkmarx, une société israélienne spécialisée dans la sécurité des applications, ont constaté une faille critique au sein de l’application Amazon Photos. Ils ont affirmé que cette vulnérabilité aurait pu facilement être exploitée par des personnes mal intentionnées afin de voler le jeton d’accès d’utilisateurs et utilisatrices de smartphones et tablettes Android.

Selon les déclarations de João Morais et Pedro Umbelino, tous deux chercheurs chez Checkmarx, « le jeton d’accès Amazon est utilisé pour authentifier l'utilisateur sur plusieurs API Amazon, dont certaines contiennent des données personnelles telles que le nom complet, l'e-mail et l'adresse ». L’origine serait la mauvaise configuration d’un des composants de l’application nommé « com.amazon.gallery.thor.app.activity.ThorViewActivity », présent dans le fichier AndroidManifest.xml.

Amazon Photos © © Amazon

Une fois celui-ci lancé, la requête HTTP est redirigée vers un serveur contrôlé par l’attaquant, qui peut alors permettre aux applications malveillantes installées sur l'appareil de saisir le jeton d'accès de l’utilisateur. L’attaquant aurait ainsi eu les autorisations d’utiliser les API à des fins malveillantes (suppression de fichiers Amazon Drive, ransomware, etc.). Quoi qu’il en soit, Amazon a heureusement corrigé cette faille le 18 décembre 2021, soit un peu plus d’un mois après avoir été avertie du problème par la société Checkmarx. Plus de peur que de mal…

Amazon Photos
  • Compris dans l'abonnement Prime (49 € par an)
  • Stockage illimité
  • Haute qualité conservée

Pour fidéliser ses clients, Amazon multiplie les services périphériques à son abonnement de livraison rapide Prime. Ainsi Amazon Photos propose un stockage multi-plateforme pour centraliser le tout sur un compte sécurisé bénéficiant de la puissance des serveurs de la société. On apprécie l'interface, la diversité des applications ainsi que les algorithmes d'intelligence artificielle. En revanche, il convient de garder à l'esprit qu'il s'agit d'une autre manière de nous obliger à renouveler chaque année une souscription à Prime…

Pour fidéliser ses clients, Amazon multiplie les services périphériques à son abonnement de livraison rapide Prime. Ainsi Amazon Photos propose un stockage multi-plateforme pour centraliser le tout sur un compte sécurisé bénéficiant de la puissance des serveurs de la société. On apprécie l'interface, la diversité des applications ainsi que les algorithmes d'intelligence artificielle. En revanche, il convient de garder à l'esprit qu'il s'agit d'une autre manière de nous obliger à renouveler chaque année une souscription à Prime…

Source : The Hacker News

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
6
luck61
« Une fois celui-ci lancé, la requête HTTP est redirigée vers un serveur contrôlé par l’attaquant » et comment ils font pour redirigé vers un serveur contrôlé par l’attaquant, ça veut dire que le téléphone est déjà vérolé
Popoulo
@luck61 : oui faut déja avoir pourri son smartphone pour être inquiété (annoncé dans l’article ; « permettre aux applications malveillantes installées sur l’appareil »).
romain280
Ah bon depuis quand ils ont une appli photos eux?
crinos
Elle permet (entre autres) l’upload de photos vers leur cloud, sachant que les abonnés Prime ont droit à un stockage illimité des photos, quelque soit le format (jpg, dng, tif ou raw des différents constructeurs d’appareils photos)
Catstom
Le principal c’est que la faille soit comblée dans la discrétion ou pas…
Voir tous les messages sur le forum

Derniers actualités

Vous pouvez maintenant essayer Spotify gratuitement pendant 3 mois
Un smartphone dans sa version Pro à moins de 200€ ça vous intéresse ?
Ryzen 7000 : AMD confirme la présentation officielle de ses CPU le 30 août prochain
Combien de temps faut-il pour pirater une carte bancaire ?
Signal : des numéros de téléphone d'utilisateurs dans la nature (et ce n'est pas la faute de l'app)
Pourquoi la fusion de TF1 avec M6 pourrait être empêchée
L'excellent aspirateur Dyson V11 est à moins de 500€, ne ratez pas cette offre !
Il existe une coupe du monde d'Excel. Ce n'est pas une blague… et ce n'est pas organisé par Microsoft
Cartes graphiques : attendez encore un peu pour acheter encore moins cher
L'étiquette qui refroidit le SSD, il fallait y penser !
Haut de page