Amazon Pay-Sicherheitsbenachrichtigung APSA2016-01

Nachrichten-Spoofing mit SDKs für Amazon Pay und Login mit Amazon

An wen wendet sich diese Benachrichtigung?

Dieser Hinweis richtet sich nur an Entwickler, die die älteren Checkout v1 Amazon Pay und Login mit Amazon SDK's verwenden. Für die aktuelle Version von Amazon Pay siehe die Dokumentation für Entwickler.

Zusammenfassung

Gespoofte SNS-Nachrichten für Amazon Pay und Login mit Amazon könnten fälschlicherweise als gültig eingestuft werden. Die SDKs wurden so aktualisiert, dass der Endpunkt des TLS-Zertifikats während des Empfangs von IPNs überprüft wird.

Betroffene Software

Diese Benachrichtigung bezieht sich auf die folgenden Softwareversionen:

SDK „Login und Bezahlen mit Amazon“ (auf Englisch)

Empfohlene Aktionen

Amazon empfiehlt Ihnen ein Upgrade auf die aktuelle SDK-Version. Die aktuelle Version beinhaltet zusätzlichen Schutz vor Nachrichten-Spoofing. Die betroffenen Versionen sind in der Tabelle „Betroffene Software“ aufgeführt.

Häufige Fragen zu Benachrichtigungen

Wie funktioniert Nachrichten-Spoofing?

Ein Angreifer muss zum Erstellen einer SNS-Nachricht die Antworten kennen, die von Ihrer Anwendung erwartet werden. Diese Nachrichten könnten von Ihrer Anwendung fälschlicherweise als gültig akzeptiert werden.

Ich habe Einkäufe bei Amazon oder auf Websites getätigt, auf denen Amazon Pay verwendet wird. Sind meine Daten sicher?

Ja, dieses Problem beeinträchtigt nicht die Vertraulichkeit von Kundendaten.

Weitere Informationen

Dokumentation

Die SDK-Dokumentation finden Sie unter https://pay.amazon.com/de/developer/documentation.

Support

Die Hilfe-Optionen finden Sie unter https://pay.amazon.com/de/help.

Danksagung

Viele Dank an John Jean für seine Hilfe bei der Erkennung des Problems.

Versionen

V1.0 – Benachrichtigung veröffentlicht am 18/04/2016