Серьезная уязвимость в системе аутентификации приложения Amazon Photos позволяет похищать токены доступа пользователей Amazon , а затем использовать их для получения доступа к нескольким API Amazon. Компанию уже предупредили об уязвимости специалисты из Checkmarx . Исследователи заявили, что уязвимость связана с неправильной конфигурацией компонента в файле манифеста приложения.
“При запуске этого действия запускается HTTP-запрос, содержащий заголовок с токеном доступа клиента”, – говорят специалисты. Получив запрос, аналитики обнаружили, что они также могут получить контроль над сервером.
В отчете добавлятся, что уязвимость может быть использована для вымогательства. Ведь получив доступ к файлам жертвы, злоумышленник мог просто прочитать, зашифровать и перезаписать файлы клиента Amazon.
Специалисты настоятельно рекомендуют пользователям обновить приложение до последней версии, где уязвимость уже исправлена. Подвержены уязвимости приложения, которые были загружены до 18 декабря 2021 года.
Источник: SecurityLab