亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

近期，Checkmarx的網(wǎng)絡安全研究人員發(fā)現(xiàn)了一個影響安卓上的Amazon Photos 應用程序嚴重漏洞，如果該漏洞被行為威脅者利用的話，就可能導致被安裝在手機上的惡意應用程序竊取用戶的亞馬遜訪問令牌。

從技術(shù)角度來看，當各種Amazon應用程序接口(API)對用戶進行身份驗證時，就需要Amazon訪問令牌，其中一些接口在攻擊期間可能會暴露用戶的個人身份信息(PII)。其他一些應用程序接口，像Amazon Drive API，可能允許威脅參與者獲得對用戶文件的完全訪問權(quán)限。

根據(jù)Checkmarx的說法，該漏洞源于照片應用程序組件之一的錯誤配置，這將允許外部應用程序訪問它。每當啟動此應用時，它會觸發(fā)一個帶有客戶訪問令牌的HTTP請求，而接收該請求的服務器就能被其控制。

研究人員表示，在掌握這一點后，安裝在受害者手機上的惡意應用程序可能會發(fā)送一個指令，并發(fā)送請求到攻擊者控制的服務器上。當攻擊者有足夠的操作空間，勒索軟件就很容易成為可能的攻擊載體，惡意操作人員可以讀取、加密和重寫客戶的文件，同時還能刪除他們的歷史記錄。

此外，Checkmarx說，他們在研究中只分析了整個亞馬遜生態(tài)系統(tǒng)里的一小部分API，這就意味著使用相同令牌的攻擊者也有可能訪問其他Amazon API。

在發(fā)現(xiàn)這組漏洞后，Checkmarx第一時間聯(lián)系了Amazon Photos開發(fā)團隊?！坝捎谠撀┒吹臐撛谟绊懞艽螅⑶以趯嶋H攻擊場景中成功的可能性很高，亞馬遜認為這是一個嚴重程度很高的問題，并在報告后不久就發(fā)布了修復程序。”

參考來源：https://www.infosecurity-magazine.com/news/amazon-fixes-flaw-photos-android/

來源:FreeBuf