Menu

Assistenza Venditori

Security Advisory APSA2016-01 di Amazon Pay

SDK Amazon Pay e Accedi con Amazon - Spoofing dei messaggi

A chi è destinato questo advisory?

Questo advisory riguarda soltanto gli sviluppatori che utilizzano gli SDK Amazon Pay e Accedi con Amazon.

Executive summary

I messaggi SNS di Amazon Pay e Accedi con Amazon falsificati possono essere erroneamente riconosciuti come validi. Gli SDK sono stati aggiornati per convalidare gli endpoint dei certificati TLS durante la ricezione di IPN.

Software interessato

Questo advisory si riferisce alle versioni software seguenti.

SDK Amazon Pay e Accedi con Amazon

Lingua

Versione

Link

C#

<= v 1.0.14

https://github.com/amzn/login-and-pay-with-amazon-sdk-csharp

Java

<= v 1.0.16

https://github.com/amzn/login-and-pay-with-amazon-sdk-java

PHP (esistente)

<= v 1.0.14

https://github.com/amzn/login-and-pay-with-amazon-sdk-php/tree/Legacy-US

PHP (nuovo)

v 1.0.0

https://github.com/amzn/login-and-pay-with-amazon-sdk-php

Python

v 1.0.0

https://github.com/amzn/login-and-pay-with-amazon-sdk-python

Azioni consigliate

Amazon consiglia di eseguire l'aggiornamento alla versione SDK più recente. La versione più aggiornata include ulteriori protezioni contro lo spoofing dei messaggi. Consultare la tabella per un elenco delle versioni software interessate.

FAQ sull'advisory

Qual è il meccanismo di exploiting?

L'hacker deve creare un messaggio SNS sapendo quali risposte la tua applicazione si aspetta di ricevere. Tali messaggi potrebbero essere erroneamente riconosciuti e accettati come validi dall'applicazione.

Ho effettuato acquisti su Amazon.it o su siti che utilizzano il servizio Amazon Pay. I miei dati sono al sicuro?

Sì. Questo problema non compromette la riservatezza dei dati dei clienti.

Altre informazioni

Documentazione

Accedi alla pagina https://pay.amazon.com/it/developer/documentation per la documentazione relativa agli SDK

Assistenza

Consulta gli argomenti dell'Aiuto all'indirizzo https://pay.amazon.com/it/help.

Riconoscimento

Grazie a John Jean per il suo contributo all'identificazione di questo problema.

Revisioni

V 1.0 — Advisory pubblicato il 18 aprile 2016