Amazon Photos for Android の脆弱性:アクセス・トークンを盗み出される可能性

Vulnerability in Amazon Photos Android App Exposed Amazon access tokenUser Information

2022/06/30 SecurityWeek — サイバーセキュリティ企業である Checkmarx が公開した情報は、Amazon Photos のAndroid アプリケーションに存在する深刻な脆弱性の詳細であり、悪意のアプリにより Amazon のアクセス・トークンを盗み出される可能性を示唆するものである。5000万以上のダウンロード数を誇る Amazon Photos は、クラウド・ストレージを提供し、写真/動画をオリジナル品質で保存するほか、写真の印刷/共有や、複数の Amazon デバイス上での表示などを可能にするサービスだ。

2021年11月に Checkmarx の研究者たちは、ユーザー・デバイス上の悪意のアプリケーションへ向けて、Amazon アクセス・トークンを流出させ、個人情報の漏洩などにいたる問題を特定した。このバグは、2021年12月に対処されている。

流出した Amazon アクセス・トークンは、Amazon API 全体においてユーザー認証に使用されるものであり、その中には、名前/住所/電子メールなどの個人情報が含まれるものもある。たとえば、Amazon Drive API を介したケースでは、攻撃者はユーザーのファイルにアクセスできると、Checkmarx は述べている。

研究者たちによると、「この問題は、ミスコンフィグレーションされたコンポーネントに存在し、アプリのマニフェスト・ファイルにエクスポートされ、その結果として、外部アプリケーションがアクセスできるようになった」と説明している。

この問題により、HTTP リクエストのヘッダに対して、アクセス・トークンが送信されることになったが、最も重要なところは、このリクエストを受信するサーバーを、攻撃者が制御できたという点にある。

Checkmarx は、「このアクティビティは、アクセス・トークンを含むリクエストの送信先を決定するために、アプリケーションが使用する intent-filter で宣言されている。被害者の携帯電話にインストールされた悪意のアプリケーションは、それを知った上で、脆弱なアクティビティを効果的に起動させる intent を送信し、攻撃者が制御するサーバー経向けてリクエストを送信するきっかけを作れる」と指摘している。

流出したトークンは、Amazon API を通じて、すべてのユーザー情報へのアクセスを、攻撃者に提供する可能性がある。Amazon Drive API を使用することで、攻撃者はユーザーのファイルにアクセスし、その内容の読取/変更/削除などが可能になる。

また、研究者たちは、このアクセス・トークンの悪用により、ファイルの変更や履歴の消去だけではなく、Amazon Drive アカウントのファイル/フォルダの完全な削除も可能だったと説明している。

彼らは、「攻撃者が利用可能な、これらすべてのオプションにより、ランサムウェアのシナリオにおける攻撃経路が容易に想像できた。驚異アクターたちは、顧客のファイルを読み取り、暗号化し、履歴を消去しながら書き換えるだけでよい」と述べている。

研究者が特定した、影響を受ける可能性のある API は、Amazon エコシステム全体の一部であることから、この脆弱性は、より広範囲に影響を及ぼす可能性があると、Checkmarx は指摘している。

2021年12月に対処されたとする、Amazonアクセス・トークンの問題を指摘されていますが、なぜ、いまになって記事化されたのかという疑問が残ります。最近に生じた、この種の問題に関しては、5月2日の「GitHub で発生した OAuth トークンの悪用:高度な標的型の性質があるという」や、5月27日の「GitHub の OAuth 問題:追跡調査により 100K 件分の npm ログイン情報の窃取が判明」といった記事が印象に残っています。よろしければ、カテゴリ authNauthZ も、ご参照ください。

%d bloggers like this: