Amazon confirma un grave fallo de seguridad en su alternativa a Google Fotos: podían borrar todas tus imágenes

¿Usas Amazon Photos? La app para Android contaba con un grave fallo de seguridad (ya solucionado) que podría haber puesto en peligro todas tus imágenes y vídeos.

Amazon confirma un grave fallo de seguridad en su alternativa a Google Fotos: podían borrar todas tus imágenes

Después de que Google retirara el almacenamiento ilimitado gratuito de Google Fotos, un buen número de usuarios de la plataforma decidieron dar el salto a Amazon Photos, la alternativa creada por la empresa fundada por Jeff Bezos, cuya principal virtud era la opción de disfrutar de almacenamiento ilimitado gratuito para todos los suscriptores de Amazon Prime.

Pero parece que la solución desarrollada por Amazon no está libre de problemas. Según confirman desde el portal CheckMarX, Amazon ha admitido un grave problema de seguridad que ha estado presente en su plataforma de almacenamiento de imágenes y vídeos en la nube. La vulnerabilidad habría permitido a los atacantes obtener acceso al contenido de los usuarios, y borrar sus unidades de almacenamiento en la nube por completo.

El fallo de seguridad afectaba a la app de Amazon Photos para Android

App de Google Fotos en un móvil Android.

Google Fotos es la solución utilizada por millones de personas para alojar sus imágenes en la nube.

Tal y como los investigadores han confirmado, la vulnerabilidad fue descubierta en la versión de Amazon Photos para Android. Se determinó que la app, con más de cincuenta millones de descargas en Google Play, contaba con una brecha que podría permitir a atacantes acceder a los archivos del usuario y modificarlos o eliminarlos de manera remota.

El origen de la vulnerabilidad se encuentra en un fallo de configuración en una de las "Actividades" que forman la aplicación. Al parecer, el componente com.amazon.gallery.thor.app.activity.ThorViewActivity tenía la capacidad de exportar el token de acceso del usuario a través de una conexión HTTP insegura, que permitiría a un atacante interceptar dicho token.

A la hora de intentar explotar esta vulnerabilidad, los atacantes solo tenían que obtener el token a través de una app maliciosa instalada en el dispositivo de la víctima, para posteriormente ganar acceso a todo el contenido privado del usuario que ofrece la API de Amazon, incluyendo las imágenes y los vídeos guardados en Amazon Photos.

"Este token podría utilizarse para listar los archivos del cliente utilizando la API de Amazon Drive, y luego leer, reescribir o incluso eliminar el contenido de cada uno."

Pero los problemas van más allá: los investigadores descubrieron que cualquier persona con el token de acceso del usuario podría borrar el historial de archivos, de modo que la versión original de estos no se podría recuperar.

Desde CheckMarX informaron a Amazon del descubrimiento el día 7 de noviembre de 2021, y Amazon catalogó de "alta gravedad" el problema. Pocas semanas después, se liberó la actualización que contenía el parche dirigido a solucionar el problema.

Queremos saber tu opinión. ¡Comenta!
Para ti