Recorded Futureは6月29日(米国時間)、「Amazon quietly patches ‘high severity’ Android photos app vulnerability - The Record by Recorded Future」において、Amazonが提供しているAndroid向けアプリ「Amazon Photos」が抱えていた脆弱性が修正されたと伝えた。Amazon Photosの脆弱性がサイバー攻撃に悪用された場合、ユーザーファイルやデータにアクセスされるリスクがあるとしている。
Amazonは、Androidアプリ「Amazon Photos」に影響を及ぼす深刻度の高い脆弱性についてセキュリティ研究者からの指摘を受け、昨年12月にパッチを適用したことを発表した。Amazon Photosは同社のクラウドストレージアプリであるAmazon Driveに関連したサービスアプリ。同アプリはすでに脆弱性が発見される前までにPlayストアより5000万回以上ダウンロードされている。
サイバーセキュリティ企業Checkmarxの研究者によって、同アプリに複数のAmazon API間でユーザの認証に使われるユーザの一意のアクセストークンが盗まれる脆弱性があることが明らかになった。Amazon APIには名前、メール、住所などの個人データが含まれており、その脆弱性が狙われると、サイバー犯罪者は個人データにフルアクセスできてしまうリスクがある。
Checkmarxは昨年11月にAmazon Vulnerability Research Programに問題を報告したという。Amazon側もこの報告を確認し、深刻度の高い問題と認識。昨年12月18日までに脆弱性に対応したプログラムを本番環境に適用させたと伝えている。また、この脆弱性によってユーザーの機密情報が流出したという証拠は得られていないと説明されている。