Des jetons d'accès qui fuient exposent des photos d'utilisateurs d'Amazon

L'application Amazon Photos pour Android protège insuffisamment les jetons d'accès des utilisateurs, selon un article de blog publié mercredi.

Théoriquement, avec des jetons exposés, un attaquant aurait pu accéder aux données personnelles des utilisateurs à partir d'un certain nombre d'applications Amazon différentes - pas seulement Photos mais aussi, par exemple, Amazon Drive. Ils pourraient également avoir effectué une attaque de ransomware, verrouillant ou supprimant définitivement des photos, des documents et plus encore.

Les résultats ont été signalés pour la première fois au programme de recherche sur les vulnérabilités d'Amazon le 7 novembre de l'année dernière. Le 18 décembre, Amazon a annoncé que les problèmes avaient été entièrement résolus.

Jetons en vrac

Pour authentifier les utilisateurs dans diverses applications au sein de leur écosystème, comme d'autres fournisseurs de suites logicielles, Amazon utilise des jetons d'accès. C'est pratique pour les utilisateurs, mais aussi, potentiellement, pour les attaquants.

Dans leur rapport, les chercheurs de Checkmarx ont décrit comment les jetons d'accès fuyaient naturellement via une interface de programmation d'application (API) d'Amazon via "une mauvaise configuration de la com[.]amazon[.]gallery[.]thor[.]app[.]activité[ .] Le composant ThorViewActivity, qui est implicitement exporté dans le fichier manifeste de l'application » - les fichiers manifestes décrivent les informations critiques de l'application pour le système d'exploitation Android et Google Play Store - « permettant ainsi aux applications externes d'y accéder. Chaque fois que cette activité est lancée, elle déclenche une requête HTTP qui porte un en-tête avec le jeton d'accès du client. » Dans une vidéo explicative, ils l'ont mis en termes plus simples :

"Vous pouvez le considérer comme le mot de passe envoyé à d'autres applications en clair."

En plus des applications tierces, le même jeton non sécurisé a également été partagé avec Amazon Drive - utilisé pour le stockage et le partage de fichiers.

Les attaquants auraient pu voler, supprimer des données

Il existe un certain nombre de façons dont un attaquant aurait pu exploiter des jetons d'accès non sécurisés.

Par exemple, avec une application tierce malveillante installée sur le téléphone de la victime, celle-ci aurait pu rediriger le jeton d'une manière "qui lance efficacement l'activité vulnérable et déclenche l'envoi de la demande à un serveur contrôlé par l'attaquant". À partir de là, l'attaquant aurait pu accéder à toutes sortes d'informations personnelles qu'une victime avait stockées dans Amazon Photos.

Étant donné que les jetons ont également été divulgués sur Amazon Drive, les attaquants auraient pu trouver, lire ou même supprimer de manière irrécupérable des fichiers et des dossiers dans le compte Drive d'une victime.

Et "avec toutes ces options disponibles pour un attaquant", ont spéculé les chercheurs, "un scénario de ransomware était facile à proposer comme vecteur d'attaque probable. Un acteur malveillant aurait simplement besoin de lire, chiffrer et réécrire les fichiers du client tout en effaçant leur historique.

On ne sait pas exactement combien d'applications auraient pu être ciblées avec des jetons d'accès aussi lâches, car seul un petit nombre d'API Amazon ont été analysées pour le rapport. La portée réelle pourrait être un peu plus grande. Erez Yalon, vice-président de la recherche sur la sécurité chez Checkmarx, a réfléchi aux implications, dans une déclaration à Threatpost par e-mail :

"À une époque où nous faisons tous aveuglément confiance à nos fournisseurs de technologie et stockons volontiers tous nos secrets privés et les plus convoités sur le cloud de quelqu'un, il est nécessaire de rappeler que ces incidents peuvent arriver même aux meilleurs (Amazon.)"