أكدت شركة أمازون عن وجود ثغرة أمنية تم إصلاحها في تطبيق الصور | Photos الخاص بها لنظام اندرويد ، وقد تم تنزيل هذا التطبيق أكثر من 50 مليون مرة على متجر قوقل بلاي، وتكمن مهمة التطبيق في تخزين الصور والفيديو والتمكين من مشاركة اللقطات بسلاسة مع ما يصل إلى خمسة أفراد من العائلة، مما يوفر ميزات إدارة وتنظيم قوية.
بخصوص هذه الثغرة الأمنية، وكما أشار المصدر، اكتشف الباحثون في Checkmarx في أن الخلل يكمن في التهيئة الخاطئة لأحد مكونات التطبيق ، مما أدى إلى إمكانية الوصول إلى ملف البيان الخاص به خارجيًا دون مصادقة، وقد يؤدي استغلال هذا الخطأ إلى تمكين تطبيق ضار مثبت على نفس الجهاز لانتزاع رموز الوصول إلى Amazon المستخدمة لمصادقة Amazon APIs.
كما وقد تحتوي واجهات برمجة التطبيقات هذه على معلومات شخصية حساسة مثل الاسم الكامل والبريد الإلكتروني والعنوان الفعلي ، بينما يحتفظ الآخرون مثل Amazon Drive API بملفات المستخدم، وقد أشار الباحثون عن سيناريوهات الاستغلال المختلفة لهذه الثغرة، على سبيل المثال، تنفيذ إجراءات الملفات على التخزين السحابي Amazon Drive للضحية ، ومسح السجل بحيث لا يمكن استرداد البيانات المحذوفة.
كما وقد يتم استخدام الخلل في الرمز بواسطة واجهات برمجة تطبيقات أمازون أخرى ، مثل Prime Video و Alexa و Kindle وما إلى ذلك ، مما قد تكون إمكانية الاستغلال بعيدة المدى، بالتالي، مع توفر كل هذه الخيارات للمهاجمين، كان من السهل التوصل إلى سيناريو برامج الفدية .
أخيرًا، يُذكر بأن الفريق الأمني Checkmarx قد أبلغ أمازون عن المشكلة في 7 نوفمبر العام الماضي، كما وأكدت الشركة الأمر في اليوم التالي، وصنفتها على أنها نقطة ضعف شديدة الخطورة، وفي تاريخ 18 ديسمبر 2021، أبلغت أمازون Checkmarx أنهم قاموا بحل المشكلات عبر تحديث أمني تم نشره، ومع ذلك ، لم يتم إبلاغ مستخدمي التطبيق مطلقًا بهذه الثغرة الأمنية، بنفس الوقت، أشارت أمازون بعدم وجود أي دليل على أن معلومات العملاء الحساسة قد تم الكشف عنها نتيجة لهذه الثغرة.
ليست هناك تعليقات: