22 de julho de 2022

Hackers violaram tokens de autenticação de usuários da Amazon e podem ter roubado ou criptografado fotos e documentos pessoais

O aplicativo Amazon Photos, para Android, deixou uma vulnerabilidade exposta e invasores violaram os tokens de acesso de seus usuários, de acordo com uma divulgação publicada no mês de julho de 2022.

Teoricamente, com esses tokens de acesso, um invasor pode roubar dados pessoais dos usuários de vários aplicativos diferentes da Amazon – por exemplo, o Amazon Drive. Eles também podem ter aproveitado o acesso para realizar um ataque de ransomware, bloqueando ou excluindo permanentemente fotos, documentos e outros arquivos importantes.

As descobertas foram relatadas pela primeira vez ao Programa de Pesquisa de Vulnerabilidade da Amazon, em 7 de novembro de 2021.

Em 18 de dezembro, a Amazon anunciou que os problemas haviam sido totalmente resolvidos.

Tokens soltos

Para autenticar usuários nos diversos aplicativos de seu ecossistema, a Amazon usa códigos de acesso (tokens) que funcionam como a “assinatura eletrônica” de cada usuário.

Embora seja altamente conveniente para os usuários, é, também, potencialmente útil para os cibercriminosos.

Em um relatório que descreve os potenciais riscos do vazamento desses tokens, pesquisadores mostram que eles vazaram “naturalmente” por meio de uma interface de programação de aplicativos (API) da Amazon devido a “uma configuração incorreta da com[.]amazon[.]gallery[.]thor[.]app[.]activity[ .]ThorViewActivity, que é exportado implicitamente no arquivo-manifesto do aplicativo”.

Os “arquivos-manifestos” descrevem informações críticas do aplicativo para o sistema operacional Android e para o Google Play – “permitindo, assim, que aplicativos externos o acessem. Sempre que essa atividade é iniciada, ela aciona uma solicitação HTTP que carrega um cabeçalho com o token de acesso do cliente.”

Em um vídeo explicativo, eles sugerem que é como “a senha sendo enviada para outros aplicativos em texto simples”.

Além de aplicativos de terceiros – o que possibilitou a violação -, o token desprotegido também foi compartilhado com o Amazon Drive – aplicativo da Amazon usado para armazenamento e compartilhamento de arquivos.

Cibercriminosos podem ter roubado e excluído dados

Existem várias formas de um invasor usar os tokens de acesso violados para mobilizar ataques cibernéticos.

Por exemplo, com um aplicativo malicioso instalado no telefone da vítima – usualmente via malware -, eles podem redirecionar o token de modo a “que efetivamente acione uma solicitação malicioso para ser enviada a um servidor controlado pelo invasor”. A partir daí, o invasor poderia acessar todos os tipos de informações pessoais que uma vítima armazenou no Amazon Photos.

Como os tokens também vazaram para o Amazon Drive, os criminosos podem ter encontrado, lido ou até mesmo excluído de forma irrecuperável arquivos e pastas na conta de uma vítima.

E “com todas essas opções disponíveis”, especularam os pesquisadores, “é fácil criar um cenário de ransomware como provável vetor de ataque. Um cibercriminosos precisaria simplesmente ler, criptografar e reescrever os arquivos do cliente enquanto apagava seu histórico.”

Não está claro quantos aplicativos poderiam ter sido acessados com esses tokens, pois apenas um pequeno número de APIs da Amazon foi analisado para o relatório. O alcance real poderia ser um pouco maior.

Quer manter os arquivos da sua empresa protegidos? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?