日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
關(guān)于AmazonPhotos安全漏洞

Amazon Photos爆安全漏洞,Amazon確認已修復(fù)。

專注于為中小企業(yè)提供網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計服務(wù),電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)西工免費做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動了上千余家企業(yè)的穩(wěn)健成長,幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

Checkmarx研究人員發(fā)現(xiàn)由于Amazon Photos APP中一個組件的錯誤配置引發(fā)了一個安全漏洞,使得manifest文件可以在無需認證的情況下從外部訪問。

概述

Amazon Photos是一款圖像和視頻存儲應(yīng)用,用戶可以與5個家庭成員無縫分享其快照,提供了強大的管理和組織特征。Amazon Photos在谷歌應(yīng)用市場下載次數(shù)超過5000萬。

圖1 谷歌應(yīng)用商店Amazon Photos 界面

攻擊者利用該漏洞可以使同一設(shè)備上安裝的惡意APP獲取用于Amazon API認證的Amazon訪問token。API中可能含有敏感個人信息,如姓名、郵箱、地址,而Amazon Drive API中會包含用戶文件。

漏洞利用

有漏洞的組件為com.amazon.gallery.thor.app.activity.ThorViewActivity,該組件啟動后會觸發(fā)一個包含由用戶token的header的HTTP請求。

圖2 有漏洞的組件

Checkmarx研究人員發(fā)現(xiàn)外部APP可以通過發(fā)送token到其控制的服務(wù)器來啟動有漏洞的activity和觸發(fā)請求。

圖3 包含從惡意節(jié)點接收的Amazon token的請求

研究人員利用獲取的token嘗試了不同的利用場景,包括在受害者Amazon Drive云存儲上執(zhí)行文件操作,擦除歷史記錄,使得被刪除的數(shù)據(jù)無法恢復(fù)。攻擊者還可以讀文件、加密,然后在擦除歷史記錄時重寫客戶文件。

獲得的token還可以被其他Amazon API使用,比如Prime Video、Alexa和Kindle等。

漏洞時間軸和補丁

2021年11月7日,研究人員將該漏洞提交給了Amazon,11月8日Amazon確認了該漏洞,并將該漏洞分類為高危漏洞。2021年12月18日,Amazon稱已經(jīng)通過安全更新的方式修復(fù)了該漏洞。但用戶并未告知可能存在的數(shù)據(jù)泄露問題。

針對這一問題,Amazon發(fā)言人稱,目前沒有任何證據(jù)表明用戶的個人敏感信息由于該漏洞出現(xiàn)了泄露。

完整技術(shù)分析參見:https://checkmarx.com/blog/amazon-confirmed-and-fixed-a-high-severity-vulnerability-of-broken-authentication-in-amazon-photos-android-app/


網(wǎng)站名稱:關(guān)于AmazonPhotos安全漏洞
URL網(wǎng)址:http://www.5511xx.com/article/dposiis.html