Android-версия Amazon Photos содержит брешь, позволяющую украсть токены

Android-версия Amazon Photos содержит брешь, позволяющую украсть токены

Android-версия Amazon Photos содержит брешь, позволяющую украсть токены

Android-версия приложения Amazon Photos, которую загрузили на свои устройства более 50 миллионов пользователей, содержит опасную уязвимость. Брешь позволяет злоумышленникам украсть токены доступа Amazon и использовать их для взаимодействия с рядом Amazon API.

Софт Amazon Photos позволяет владельцам мобильных устройств хранить фото- и видеоматериалы, а также делиться ими с членами семьи. Приложение привлекает богатой функциональностью по части управления и организации хранилища.

Об уязвимости рассказали специалисты компании Checkmarx, по данным которых проблема кроется в неправильной конфигурации софтового компонента. В результате баг открывает возможность для доступа без аутентификации к «файлу манифеста» (manifest file).

Грамотная эксплуатация выявленной бреши может позволить вредоносному приложению, установленному на целевом устройстве, вытащить токены доступа Amazon. Напомним, что такие токены используются для аутентификации при взаимодействии с Amazon API.

Если атакующий получит такой доступ, ему могут открыться полные имена пользователей и адреса проживания. Уязвимый компонент софта — “com.amazon.gallery.thor.app.activity.ThorViewActivity“, отвечающий за вызов HTTP-запроса, который содержит заголовок с токенами юзера.

 

Исследователи из Checkmarx выяснили, что стороннее приложение может с лёгкостью задействовать уязвимость и отправить полученные токены на сервер, находящийся под контролем злоумышленника.

 

Поскольку аналогичные токены могут использоваться и для других Amazon API — Prime Video, Alexa, Kindle и т. п. — потенциальная эксплуатация бага принимает серьёзные масштабы. К счастью, патч уже готов, поэтому пользователям нужно просто обновить приложение.

Банки и операторы заплатят за ошибки, которые помогли мошенникам

Россиянам могут начать возвращать деньги, переведённые телефонным мошенникам, если преступление стало возможным из-за нарушений банка или оператора связи. Процедуру компенсаций прописали в проектах постановлений к пакету «Антифрод 2.0».

Схема такая: пострадавший обращается в банк и сообщает, что отправил деньги под влиянием мошенников. Банк проверяет, должен ли был распознать подозрительную операцию и остановить перевод. Если пропустил, возмещает ущерб сам.

Если банк всё сделал правильно, заявление отправят оператору связи. Тот должен выяснить, мог ли вовремя обнаружить мошеннический номер и заблокировать его. Если ошибка была на стороне оператора, платить придётся ему.

При положительном решении деньги должны вернуть в течение 30 дней. Для трансграничных переводов срок увеличивается до 60 дней. Лимитов по размеру компенсации в финальной версии не предусмотрено.

Но автоматической страховки от любой доверчивости не будет. Если и банк, и оператор выполнили все требования, а клиент всё равно сам передал код, пароль или перевёл деньги, компенсация ему не положена.

Параллельно власти дорабатывают систему «Антифрод». Банки, операторы и ведомства будут автоматически обмениваться данными о подозрительных номерах.

В базу могут попадать телефоны, с которых рассылают фальшивые сообщения от имени «Госуслуг» или ведут незаконные массовые обзвоны. Для ошибочно внесённых номеров предусмотрят процедуру удаления.

RSS: Новости на портале Anti-Malware.ru