Le token d’accès Amazon est utilisé pour authentifier l’utilisateur sur plusieurs API Amazon, dont certaines contiennent des données personnelles telles que le nom complet, ainsi que l’adresse e-mail et postale. D’autres, comme l’API Amazon Drive, offrent une voie d’accès aux fichiers de l’utilisateur.

Cette vulnérabilité résulte d’une mauvaise configuration du composant com.amazon.gallery.thor.app.activity.ThorViewActivity, implicitement exporté dans le fichier MANIFEST de l’application, et qui permet aux applications externes d’y accéder.

Chaque fois que cette activité est lancée, elle déclenche une requête HTTP portant un en-tête avec le token d’accès du client. Les chercheurs Checkmarx ont découvert qu’ils pouvaient facilement contrôler le serveur recevant cette demande.

L’activité est déclarée avec un filtre d’intention utilisé par l’application pour décider de la destination de la demande contenant le token d’accès.

Sachant cela, une application malveillante installée sur le téléphone de la victime aurait pu envoyer une intention pour lancer efficacement l’activité vulnérable et l’envoyer sur un serveur contrôlé par l’attaquant.

Notez l’en-tête x-amz-access-token, contenant le token d’accès.
Ce token peut ensuite être utilisé pour accéder à toutes les informations client disponibles via l’API Amazon.

Il peut aussi être utilisé pour répertorier les fichiers du client à l’aide de l’API Amazon Drive, puis pour lire, réécrire ou même supprimer le contenu de chacun d’entre eux :

En outre, l’équipe Checkmarx a constaté que toute personne disposant de ce token d’accès pouvait modifier les fichiers tout en effaçant son historique afin que le contenu d’origine ne puisse plus être récupéré à partir de l’historique des fichiers. Un autre endpoint API aurait pu permettre la suppression de fichiers et de dossiers dans Amazon Drive.

Armé de toutes ces options, le hacker aurait pu facilement utiliser un scenario ransomware comme vecteur potentiel d’attaque et de lire, chiffrer et réécrire les fichiers du client tout en effaçant son historique.

Il est essentiel de noter que les API relevées dans cet article ne sont qu’un petit sous-ensemble de l’écosystème Amazon. Il est donc possible que d’autres API soient également accessibles pour un attaquant doté de ce même token.

Après la découverte de cette vulnérabilité, l’équipe de développement Amazon Photos a été contactée par Checkmarx. Compte tenu de son impact potentiel élevé et de la forte probabilité de succès de scénarios d’attaque bien réels, Amazon a considéré qu’il s’agissait d’un problème à haut niveau de criticité et publié un correctif peu de temps après le signalement.

Nov 7, 2021 Résultats complets signalés au programme Amazon Vulnerability Research
Nov 8, 2021 Amazon confirme la réception du rapport
Dec 18, 2021 Les failles sont résolues et les correctifs déployés en production

Ce fut un réel plaisir de collaborer aussi efficacement avec l’équipe Amazon tout au long du processus de divulgation et de correction de la vulnérabilité. L’équipe de sécurité d’Amazon est aujourd’hui dotée du sceau d’approbation Checkmarx.

L’équipe de recherche en sécurité Checkmarx continuera à être engagée dans l’amélioration des pratiques de sécurité applicatives partout dans le monde.