Compartilhar
Você usa Amazon Fotos? O app para Android tinha uma falha grave de segurança (já corrigida) que poderia colocar em risco todas as suas imagens e vídeos.
Depois que o Google removeu o armazenamento ilimitado gratuito do Google Fotos, um bom número de usuários da plataforma decidiu dar o salto para o Amazon Photos, a alternativa criada pela empresa fundada por Jeff Bezos, cuja principal virtude era a opção de desfrutar de armazenamento ilimitado gratuito para todos os usuários. Assinantes Amazon Prime.
Mas parece que a solução desenvolvida pela Amazon não está livre de problemas. Conforme confirmado pelo portal CheckMarX, Amazon admitiu um sério problema de segurança que esteve presente em sua plataforma de armazenamento de imagens e vídeos na nuvem. A vulnerabilidade teria permitido que invasores obtenha acesso ao conteúdo dos usuários e limpe suas unidades armazenamento em nuvem completamente.
A falha de segurança afetou o aplicativo Amazon Photos para Android
Como os pesquisadores confirmaram, a vulnerabilidade foi descoberta na versão do Amazon Photos para Android. Foi determinado que o aplicativo, com mais de cinquenta milhões de downloads no Google Play, tinha uma brecha que poderia permitir que invasores acessar arquivos do usuário e modificá-los ou excluí-los remotamente.
A origem da vulnerabilidade está em um falha de configuração em uma das "Atividades" que compõem a aplicação. Aparentemente o componente com.amazon.gallery.thor.app.activity.ThorViewActivity tinha a capacidade de exportar token de acesso do usuário em uma conexão HTTP insegura, o que permitiria que um invasor interceptar o referido token.
Ao tentar explorar essa vulnerabilidade, os invasores só precisavam obter token através de um aplicativo malicioso instalado no dispositivo da vítima, para posteriormente ter acesso a todo o conteúdo privado do usuário oferecidos pela API da Amazon, incluindo o imagens e vídeos salvos no Amazon Photos.
"Esse token pode ser usado para listar arquivos de clientes usando a API do Amazon Drive e, em seguida, ler, reescrever ou até mesmo excluir o conteúdo de cada um."
Mas os problemas são mais profundos: os pesquisadores descobriram que qualquer pessoa com o token de acesso do usuário poderia limpar histórico de arquivos, para que a versão original destes não pudesse ser recuperada.
você pode gostar 💪👉Este lançador popular foi atualizado, tornando a grande maioria de seus recursos pagos gratuitosDa CheckMarX, eles informaram a Amazon sobre a descoberta em 7 de novembro de 2021, e a Amazon classificou o problema como "alta gravidade". Algumas semanas depois, a atualização contendo o patch destinado a resolver o problema.
Tópicos relacionados: Formulários
Compartilhar
Estamos no Google Notícias!