Dans la plus grande discrétion, Amazon a corrigé une faille grave de son application Photos

En catimini, le géant Amazon a corrigé une faille d’importance au sein de son application Photos sur Android.

Voilà une faille passée (heureusement) inaperçue mais qui aurait pourtant pu être lourde de conséquences.

Amazon Photos : une faille critique discrètement corrigée

En novembre dernier, des chercheurs de Checkmarx, une société israélienne spécialisée dans la sécurité des applications, ont constaté une faille critique au sein de l’application Amazon Photos. Ils ont affirmé que cette vulnérabilité aurait pu facilement être exploitée par des personnes mal intentionnées afin de voler le jeton d’accès d’utilisateurs et utilisatrices de smartphones et tablettes Android.

Selon les déclarations de João Morais et Pedro Umbelino, tous deux chercheurs chez Checkmarx, « le jeton d’accès Amazon est utilisé pour authentifier l'utilisateur sur plusieurs API Amazon, dont certaines contiennent des données personnelles telles que le nom complet, l'e-mail et l'adresse ». L’origine serait la mauvaise configuration d’un des composants de l’application nommé « com.amazon.gallery.thor.app.activity.ThorViewActivity », présent dans le fichier AndroidManifest.xml.

Une fois celui-ci lancé, la requête HTTP est redirigée vers un serveur contrôlé par l’attaquant, qui peut alors permettre aux applications malveillantes installées sur l'appareil de saisir le jeton d'accès de l’utilisateur. L’attaquant aurait ainsi eu les autorisations d’utiliser les API à des fins malveillantes (suppression de fichiers Amazon Drive, ransomware, etc.). Quoi qu’il en soit, Amazon a heureusement corrigé cette faille le 18 décembre 2021, soit un peu plus d’un mois après avoir été avertie du problème par la société Checkmarx. Plus de peur que de mal…

Source : The Hacker News