Security Advisory APSA2016-01 di Amazon Pay
SDK Amazon Pay e Accedi con Amazon - Spoofing dei messaggi
A chi è destinato questo advisory?
Questo avviso riguarda soltanto gli sviluppatori che utilizzano la versione precedente di Checkout v1 Amazon Pay e gli SDK di Accedi con Amazon. Per la versione più recente di Amazon Pay, consulta la documentazione per sviluppatori.
Executive summary
I messaggi SNS di Amazon Pay e Accedi con Amazon falsificati possono essere erroneamente riconosciuti come validi. Gli SDK sono stati aggiornati per convalidare gli endpoint dei certificati TLS durante la ricezione di IPN.
Software interessato
Questo advisory si riferisce alle versioni software seguenti.
SDK Amazon Pay e Accedi con Amazon
Lingua |
Versione |
Link |
C# |
<= v 1.0.14 |
https://github.com/amzn/login-and-pay-with-amazon-sdk-csharp |
Java |
<= v 1.0.16 |
|
PHP (esistente) |
<= v 1.0.14 |
https://github.com/amzn/login-and-pay-with-amazon-sdk-php/tree/Legacy-US |
PHP (nuovo) |
v 1.0.0 |
|
Python |
v 1.0.0 |
https://github.com/amzn/login-and-pay-with-amazon-sdk-python |
Azioni consigliate
Amazon consiglia di eseguire l'aggiornamento alla versione SDK più recente. La versione più aggiornata include ulteriori protezioni contro lo spoofing dei messaggi. Consultare la tabella per un elenco delle versioni software interessate.
FAQ sull'advisory
Qual è il meccanismo di exploiting?
L'hacker deve creare un messaggio SNS sapendo quali risposte la tua applicazione si aspetta di ricevere. Tali messaggi potrebbero essere erroneamente riconosciuti e accettati come validi dall'applicazione.
Ho effettuato acquisti su Amazon.it o su siti che utilizzano il servizio Amazon Pay. I miei dati sono al sicuro?
Sì. Questo problema non compromette la riservatezza dei dati dei clienti.
Altre informazioni
Documentazione
Accedi alla pagina https://pay.amazon.com/it/developer/documentation per la documentazione relativa agli SDK
Assistenza
Consulta gli argomenti dell'Aiuto all'indirizzo https://pay.amazon.com/it/help.
Riconoscimento
Grazie a John Jean per il suo contributo all'identificazione di questo problema.
Revisioni
V 1.0 — Advisory pubblicato il 18 aprile 2016