Amazon Pay-Sicherheitsbenachrichtigung APSA2016-01
Nachrichten-Spoofing mit SDKs für Amazon Pay und Login mit Amazon
An wen wendet sich diese Benachrichtigung?
Dieser Hinweis richtet sich nur an Entwickler, die die älteren Checkout v1 Amazon Pay und Login mit Amazon SDK's verwenden. Für die aktuelle Version von Amazon Pay siehe die Dokumentation für Entwickler.
Zusammenfassung
Gespoofte SNS-Nachrichten für Amazon Pay und Login mit Amazon könnten fälschlicherweise als gültig eingestuft werden. Die SDKs wurden so aktualisiert, dass der Endpunkt des TLS-Zertifikats während des Empfangs von IPNs überprüft wird.
Betroffene Software
Diese Benachrichtigung bezieht sich auf die folgenden Softwareversionen:
SDK „Login und Bezahlen mit Amazon“ (auf Englisch)
Sprache |
Version |
Link |
C# |
<= v1.0.14 |
https://github.com/amzn/login-and-pay-with-amazon-sdk-csharp |
Java |
<= v1.0.16 |
|
PHP (Legacy) |
<= v1.0.14 |
https://github.com/amzn/login-and-pay-with-amazon-sdk-php/tree/Legacy-US |
PHP (New) |
v1.0.0 |
|
Python |
v1.0.0 |
https://github.com/amzn/login-and-pay-with-amazon-sdk-python |
Empfohlene Aktionen
Amazon empfiehlt Ihnen ein Upgrade auf die aktuelle SDK-Version. Die aktuelle Version beinhaltet zusätzlichen Schutz vor Nachrichten-Spoofing. Die betroffenen Versionen sind in der Tabelle „Betroffene Software“ aufgeführt.
Häufige Fragen zu Benachrichtigungen
Wie funktioniert Nachrichten-Spoofing?
Ein Angreifer muss zum Erstellen einer SNS-Nachricht die Antworten kennen, die von Ihrer Anwendung erwartet werden. Diese Nachrichten könnten von Ihrer Anwendung fälschlicherweise als gültig akzeptiert werden.
Ich habe Einkäufe bei Amazon oder auf Websites getätigt, auf denen Amazon Pay verwendet wird. Sind meine Daten sicher?
Ja, dieses Problem beeinträchtigt nicht die Vertraulichkeit von Kundendaten.
Weitere Informationen
Dokumentation
Die SDK-Dokumentation finden Sie unter https://pay.amazon.com/de/developer/documentation.
Support
Die Hilfe-Optionen finden Sie unter https://pay.amazon.com/de/help.
Danksagung
Viele Dank an John Jean für seine Hilfe bei der Erkennung des Problems.
Versionen
V1.0 – Benachrichtigung veröffentlicht am 18/04/2016