Um post divulgado na quarta-feira afirmou que o programa Amazon Photos para dispositivos Android não oferecia segurança aos tokens de entrada dos usuários.
Em teoria, um intruso poderia acessar os dados privados dos usuários de uma série de programas da Amazon, não somente do Fotos mas também, por exemplo, da Amazon Drive. Também seria possível que executassem um ataque ransomware, bloqueando ou apagando permanentemente fotografias, documentos e mais.
Os resultados foram pela primeira vez comunicados ao Programa de Pesquisa de Vulnerabilidade da Amazônia no dia 7 de novembro do ano anterior. Em 18 de dezembro, a Amazon anunciou que as questões haviam sido inteiramente corrigidas.
Tokens de ligação são usados para indicar o começo e a conclusão de uma seção de código.
chsyys/FreeImages
A Amazon usa tokens de acesso para validar usuários em vários softwares dentro do seu ecossistema, bem como em outros programas. Esta prática é benéfica para os usuários, mas também pode ser aproveitada por invasores.
Em seu relatório, pesquisadores da Checkmarx descreveram como os tokens de acesso inadvertidamente foram liberados por meio de uma API da Amazon por meio de uma configuração incorreta da com[.]amazon[.]gallery[.]thor[.]app[.]atividade[.] – O componente ThorViewActivity, que é inerentemente exportado no arquivo de manifesto do aplicativo, o que permite que aplicativos externos o acessem. Quando essa atividade é desencadeada, é solicitada uma solicitação HTTP que carrega um cabeçalho com o token de acesso do cliente. Em outras palavras, se você usar o código errado, você acabará por vazar tokens de acesso.
Pense nisso como uma senha transmitida para outros programas em forma de texto simples.
Além de serviços de terceiros, o mesmo token não confiável também foi entregue ao Amazon Drive – usado para armazenar e compartilhar documentos.
Os assaltantes poderiam ter pilhado, apagado e danificado o sistema.
Existem diversas formas de que um agressor possa lucrar com tokens de acesso desprotegidos.
Com um aplicativo malicioso de terceiros instalado no celular da vítima, os criminosos poderiam desviar o token de modo a provocar o envio de uma solicitação a um servidor controlado por eles. Dessa forma, teriam acesso a todos os tipos de dados pessoais que a vítima mantinha na Amazon Photos.
Uma vez que os tokens também foram descobertos no Amazon Drive, os invasores teriam a chance de localizar, ler ou, até mesmo, armazenar pastas apagadas de um usuário sem que ele saiba.
Os investigadores conjecturaram que, com todas as alternativas acessíveis para um invasor, criar uma situação de ransomware poderia ser uma tarefa simples. Uma pessoa maliciosa só teria que ler, codificar e substituir os arquivos do usuário, enquanto também apagava seu histórico.
Não há certeza de quantos aplicativos poderiam ter sido desmembrados usando estes tokens de acesso unificado, pois apenas uma pequena quantidade de APIs da Amazon foi estudada para o relatório. É provável que o alcance seja maior. Erez Yalon, Vice-Presidente de Investigação de Segurança da Checkmarx, comentou sobre as implicações em uma nota ao Threatpost por e-mail:
Em um tempo em que temos plena fé em nossos provedores de tecnologia, e que confiamos neles para guardar nossos dados confidenciais e mais preciosos na nuvem deles, é importante lembrar que incidentes de segurança podem ocorrer, mesmo com os melhores, como a Amazon.
Por favor, divulgue este artigo.
- A segurança de dispositivos móveis tornou-se um assunto cada vez mais indispensável para corporações.
- Todos os seres humanos têm o direito inalienável à privacidade.
