Menu

Aviso de seguridad de Amazon Pay APSA2016-01

Suplantación de identidad en mensajes de SDK de Amazon Pay y Login con Amazon

¿A quién va dirigida esta información?

Este aviso sólo afecta a los desarrolladores que utilicen los SDK de Amazon Pay y Login con Amazon.

Resumen

Suplantación de identidad en mensajes SNS de Amazon Pay y Login con Amazon que se consideran como válidos indebidamente. Estos SDK se han actualizados para validar el extremo del certificado TLS durante la recepción de IPN.

Software afectado

Este aviso afecta a las versiones de software siguientes.

SDK de Amazon Pay y Login con Amazon

Idioma

Versión

Enlace

C#

<= v1.0.14

https://github.com/amzn/login-and-pay-with-amazon-sdk-csharp

Java

<= v1.0.16

https://github.com/amzn/login-and-pay-with-amazon-sdk-java

PHP (heredado)

<= v1.0.14

https://github.com/amzn/login-and-pay-with-amazon-sdk-php/tree/Legacy-US

PHP (nuevo)

v1.0.0

https://github.com/amzn/login-and-pay-with-amazon-sdk-php

Python

v1.0.0

https://github.com/amzn/login-and-pay-with-amazon-sdk-python

Acciones sugeridas

Amazon recomienda la actualización a la última versión de SDK. En la última versión se incluye protección frente a la suplantación de identidad en mensajes. Consulta en la tabla de software las versiones afectadas.

Preguntas frecuentes sobre avisos

¿Cómo se puede producir un ataque?

El atacante debe crear un mensaje SNS conociendo las respuestas que espera tu aplicación. La aplicación puede aceptar estos mensajes como válidos indebidamente.

He comprado en Amazon.es o en otros sitios mediante Amazon Pay. ¿Está segura mi información?

Sí. Este problema no afecta a la confidencialidad de los datos de los clientes.

Otra información

Documentación

Consulta la documentación del SDK en https://pay.amazon.com/es/developer/documentation

Ayuda

Consulta las opciones de ayuda en https://pay.amazon.com/es/help.

Agradecimientos

Gracias a John Jean por su ayuda al identificar este problema.

Revisiones

V1.0 — Aviso publicado el 18 de abril de 2016