近期，Checkmarx的网络安全研究人员发现了一个影响安卓上的Amazon Photos 应用程序严重漏洞，如果该漏洞被行为威胁者利用的话，就可能导致被安装在手机上的恶意应用程序窃取用户的亚马逊访问令牌。

从技术角度来看，当各种Amazon应用程序接口(API)对用户进行身份验证时，就需要Amazon访问令牌，其中一些接口在攻击期间可能会暴露用户的个人身份信息(PII)。其他一些应用程序接口，像Amazon Drive API，可能允许威胁参与者获得对用户文件的完全访问权限。

根据Checkmarx的说法，该漏洞源于照片应用程序组件之一的错误配置，这将允许外部应用程序访问它。每当启动此应用时，它会触发一个带有客户访问令牌的HTTP请求，而接收该请求的服务器就能被其控制。

研究人员表示，在掌握这一点后，安装在受害者手机上的恶意应用程序可能会发送一个指令，并发送请求到攻击者控制的服务器上。当攻击者有足够的操作空间，勒索软件就很容易成为可能的攻击载体，恶意操作人员可以读取、加密和重写客户的文件，同时还能删除他们的历史记录。

此外，Checkmarx说，他们在研究中只分析了整个亚马逊生态系统里的一小部分API，这就意味着使用相同令牌的攻击者也有可能访问其他Amazon API。

在发现这组漏洞后，Checkmarx第一时间联系了Amazon Photos开发团队。“由于该漏洞的潜在影响很大，并且在实际攻击场景中成功的可能性很高，亚马逊认为这是一个严重程度很高的问题，并在报告后不久就发布了修复程序。”

参考来源：https://www.infosecurity-magazine.com/news/amazon-fixes-flaw-photos-android/

来源:FreeBuf