Na semana passada, a Amazon corrigiu uma falha no aplicativo Amazon Photosque poderia permitir que um invasor roubasse e usasse o token de acesso da Amazon usados para autenticação de APIs da Amazon. Essa vulnerabilidade do Amazon Photos pode ter permitido vazamento de arquivos e dados de usuários.
Uma vez acessadas as APIs, os invasores teriam acesso a uma grande quantidade de informações, já que muitas dessas APIs contêm dados pessoais, como nomes, endereços de e-mail e endereços residenciais.
Amazon Photos
O Amazon Photos é um serviço relacionado ao Amazon Drive, aplicativo de armazenamento em nuvem da empresa. Até o momento, ele foi baixado mais de 50 milhões de vezes na Play Store e ele é voltado para o armazenamento, organização e compartilhamento de fotos e vídeos.
Devido a uma configuração incorreta de um componente no aplicativo, tornando o token de acesso de um cliente severamente desprotegido, um aplicativo malicioso de terceiros pode acessar e usar esse token. Em um cenário de ransomware, os agentes de ameaças podem roubar, excluir e criptografar arquivos e deixar os usuários afetados sem meios de restaurá-los.
Para ser claro, é como enviar uma senha para outro aplicativo em texto simples, explicaram os pesquisadores que encontraram o bug. Uma porta aberta para o roubo de informações dos usuários.
Os pesquisadores da Checkmarx informaram a Amazon em novembro de 2021 sobre essa vulnerabilidade. No mês seguinte, a empresa lançou um patch para a vulnerabilidade.
Como essa falha também afeta o Amazon Drive, os agentes de ameaças podem, teoricamente, modificar arquivos enquanto apagam o histórico de um usuário, tornando o conteúdo original irrecuperável.
Erez Yalon, vice-presidente de pesquisa de segurança da Checkmarx, foi citado em entrevista ao The Record (Via: Malware Bytes): “Sabemos que não há nada completamente seguro no mundo do software. Mas ver esse tipo de vulnerabilidade no software da Amazon, uma das empresas líderes no mundo quando se trata de práticas de segurança, significa que isso pode acontecer com todas as empresas de software.”
Um porta-voz da Amazon também disse ao The Record que não encontraram “nenhuma evidência de que informações confidenciais do cliente foram expostas como resultado desse problema”. No entanto, se o aplicativo estiver desatualizado em algum dos dispositivos instalados, a segurança desses dados ainda pode ser um problema.
“Agradecemos o trabalho de pesquisadores de segurança independentes que ajudam a trazer possíveis problemas à nossa atenção”, disse o porta-voz.
Esperamos que os usuários que utilizam o Amazon Photos não tenham seus arquivos e dados vazados por essa vulnerabilidade.