Android-версия Amazon Photos содержит брешь, позволяющую украсть токены

Екатерина Быстрова 30 Июня 2022 - 09:25

Домашние пользователи

...

Android-версия приложения Amazon Photos, которую загрузили на свои устройства более 50 миллионов пользователей, содержит опасную уязвимость. Брешь позволяет злоумышленникам украсть токены доступа Amazon и использовать их для взаимодействия с рядом Amazon API.

Софт Amazon Photos позволяет владельцам мобильных устройств хранить фото- и видеоматериалы, а также делиться ими с членами семьи. Приложение привлекает богатой функциональностью по части управления и организации хранилища.

Об уязвимости рассказали специалисты компании Checkmarx, по данным которых проблема кроется в неправильной конфигурации софтового компонента. В результате баг открывает возможность для доступа без аутентификации к «файлу манифеста» (manifest file).

Грамотная эксплуатация выявленной бреши может позволить вредоносному приложению, установленному на целевом устройстве, вытащить токены доступа Amazon. Напомним, что такие токены используются для аутентификации при взаимодействии с Amazon API.

Если атакующий получит такой доступ, ему могут открыться полные имена пользователей и адреса проживания. Уязвимый компонент софта — “com.amazon.gallery.thor.app.activity.ThorViewActivity“, отвечающий за вызов HTTP-запроса, который содержит заголовок с токенами юзера.

Исследователи из Checkmarx выяснили, что стороннее приложение может с лёгкостью задействовать уязвимость и отправить полученные токены на сервер, находящийся под контролем злоумышленника.

Поскольку аналогичные токены могут использоваться и для других Amazon API — Prime Video, Alexa, Kindle и т. п. — потенциальная эксплуатация бага принимает серьёзные масштабы. К счастью, патч уже готов, поэтому пользователям нужно просто обновить приложение.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 22 Мая 2026 - 10:44

Соответствие законодательству РФ Домашние пользователи Государство

Автоугонщики с высокотехнологичными устройствами получили до 9 лет

Октябрьский районный суд Иваново вынес приговор трём местным жителям, которых обвиняли в серии краж дорогостоящих автомобилей. В своей деятельности они активно использовали высокотехнологичные устройства для обхода противоугонной защиты. Участники группы получили от 6 до 9 лет лишения свободы.

О завершении судебного процесса над группой автоворов сообщила официальный представитель МВД России Ирина Волк. Преступную деятельность троица вела в течение 2024 года. Выявлено не менее пяти эпизодов.

Злоумышленники специализировались на кражах автомобилей южнокорейского производства. Чаще всего они выбирали машины, оставленные владельцами во дворах. Участники группы использовали продвинутые устройства, которые позволяли открывать двери, блокировать сигнализацию и дистанционно запускать двигатель. Кроме того, автоворы научились блокировать и демонтировать системы мониторинга, предназначенные для отслеживания местоположения автомобиля.

По фактам угонов были возбуждены пять уголовных дел по ч. 4 статьи 158 УК РФ (кража в особо крупном размере). Позднее их объединили в одно производство.

Подозреваемых задержали в ходе оперативно-розыскных мероприятий. При обысках были обнаружены деньги, автомобильные запчасти и устройства, которые злоумышленники использовали для угонов. Также был изъят один из похищенных автомобилей. Остальные машины участники группы успели продать в одном из сопредельных государств.

Октябрьский районный суд Иваново признал злоумышленников виновными и назначил им наказание в виде лишения свободы на срок от 6 до 9 лет. Приговор пока не вступил в законную силу.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!