Amazon corrige vulnerabilidade grave na sua aplicação de fotos
A Amazon confirmou ter corrigido uma vulnerabilidade na sua aplicação para Android da Amazon Photos, normalmente usada para permitir o backup de fotos diretamente para as contas Prime dos utilizadores.
A aplicação possui mais de 50 milhões de downloads sobre a Google Play Store, portanto a falha possuía o potencial de afetar um elevado número de utilizadores.
Esta falha foi descoberta pela empresa de segurança Checkmarx, e encontra-se sobre a forma como a configuração da mesma é aplicada na app, a qual pode permitir que ficheiros externos sejam executados pela mesma sem autenticação.
Teoricamente, a exploração da falha poderia permitir a um utilizador malicioso aproveitar outras aplicações maliciosas instaladas no sistema para obter detalhes das contas da Amazon, nomeadamente a chave da API dos utilizadores, o que consequentemente daria acesso à Drive dos mesmos.
A falha foi inicialmente reportada à Amazon pela Checkmarx a 7 de Novembro de 2021, sendo que a empresa confirmou a sua existência no dia seguinte, classificando-a de elevada gravidade. A falha foi inteiramente corrigida a 18 de Dezembro de 2021, mas apenas agora a revelação da mesma foi tornada pública – em parte porque a Amazon pretendia que o máximo de utilizadores possíveis estivessem sobre as versões mais recentes com a correção implementada, evitando a exploração da falha.
Até ao momento não se acredita que esta falha tenha sido explorada para atividades maliciosas.