En catimini, le géant Amazon a corrigé une faille d’importance au sein de son application Photos sur Android.
Voilà une faille passée (heureusement) inaperçue mais qui aurait pourtant pu être lourde de conséquences.
Amazon Photos : une faille critique discrètement corrigée
En novembre dernier, des chercheurs de Checkmarx, une société israélienne spécialisée dans la sécurité des applications, ont constaté une faille critique au sein de l’application Amazon Photos. Ils ont affirmé que cette vulnérabilité aurait pu facilement être exploitée par des personnes mal intentionnées afin de voler le jeton d’accès d’utilisateurs et utilisatrices de smartphones et tablettes Android.
Selon les déclarations de João Morais et Pedro Umbelino, tous deux chercheurs chez Checkmarx, « le jeton d’accès Amazon est utilisé pour authentifier l'utilisateur sur plusieurs API Amazon, dont certaines contiennent des données personnelles telles que le nom complet, l'e-mail et l'adresse ». L’origine serait la mauvaise configuration d’un des composants de l’application nommé « com.amazon.gallery.thor.app.activity.ThorViewActivity », présent dans le fichier AndroidManifest.xml.
Une fois celui-ci lancé, la requête HTTP est redirigée vers un serveur contrôlé par l’attaquant, qui peut alors permettre aux applications malveillantes installées sur l'appareil de saisir le jeton d'accès de l’utilisateur. L’attaquant aurait ainsi eu les autorisations d’utiliser les API à des fins malveillantes (suppression de fichiers Amazon Drive, ransomware, etc.). Quoi qu’il en soit, Amazon a heureusement corrigé cette faille le 18 décembre 2021, soit un peu plus d’un mois après avoir été avertie du problème par la société Checkmarx. Plus de peur que de mal…
- Compris dans l'abonnement Prime (49 € par an)
- Stockage illimité
- Haute qualité conservée
Pour fidéliser ses clients, Amazon multiplie les services périphériques à son abonnement de livraison rapide Prime. Ainsi Amazon Photos propose un stockage multi-plateforme pour centraliser le tout sur un compte sécurisé bénéficiant de la puissance des serveurs de la société. On apprécie l'interface, la diversité des applications ainsi que les algorithmes d'intelligence artificielle. En revanche, il convient de garder à l'esprit qu'il s'agit d'une autre manière de nous obliger à renouveler chaque année une souscription à Prime…
Pour fidéliser ses clients, Amazon multiplie les services périphériques à son abonnement de livraison rapide Prime. Ainsi Amazon Photos propose un stockage multi-plateforme pour centraliser le tout sur un compte sécurisé bénéficiant de la puissance des serveurs de la société. On apprécie l'interface, la diversité des applications ainsi que les algorithmes d'intelligence artificielle. En revanche, il convient de garder à l'esprit qu'il s'agit d'une autre manière de nous obliger à renouveler chaque année une souscription à Prime…
Résilier son abonnement Amazon Prime devient plus simple grâce à l'UE
Source : The Hacker News