0xNews - 아마존에서 안드로이드 사진앱의 취약점에 대한 패치 실시

0xNews - 아마존에서 안드로이드 사진앱의 취약점에 대한 패치 실시

Checkmarx 발표

https://checkmarx.com/blog/amazon-confirmed-and-fixed-a-high-severity-vulnerability-of-broken-authentication-in-amazon-photos-android-app/

아마존 Amazon 은 2021년 12월 사용자 접속 토큰을 탈취하는데 악용될 수 있는 안드로이드 Android 사진앱에 영향을 미치는 취약점 패치 실치

아마존 접속 토큰은 여러 아마존 API에서 사용자를 인증하는데 사용

이 중 일부는 이름, 이메일, 주소와 같은 개인 데이터가 포함

Amazon Drive API 와 같은 다른 API 는 공격자가 사용자 파일에 대한 전체 접근 허용

이스라엘 애플리케이션 보안 테스트 회사가 2021년 11월 7일 아마존에 해당 문제 최초 보고

12월 18일 수정 사항 발표

정보 유출은 AndroidManifest.xml 파일에 정의되어 있고 시작할 때 접속 토큰이 포함된 헤더

외부 앱이 intent, 앱 간 통신을 용이하게 하는 메시지를 발송

문제의 취약점이 있는 활동을 시작하고 HTTP 요청을 공격자가 제어하는 서버로 리디렉션하여 접속 토큰을 추출 

이런 경우는 broken authentication 이라 지칭

이 취약점으로 인해 기기에 설치된 악성 앱이 접속 토큰을 획득하여 공격자가 추후 활동에 API 를 사용할 수 있는 권한을 부여할 수 있음

이번 취약점의 경우 아마존 드라이브에서 파일과 폴더 삭제나 히스토리 삭제

피해자의 파일을 읽어들이거나 암호화 가능

랜섬웨어 공격을 준비하기 위한 접근에 대해 악용 등

다양한 공격 시나리오가 실현 가능

현재까지 확인 결과 PoC 일부만으로 악용되는 API 가 전체 아마존 생태계의 작은 하위 집합 정도

이번 취약점은 더 광범위하게 영향을 미칠 수 있음을 경고