Amazon het besluit om $ 18,000 te betaal vir die opsporing van kwesbaarhede en kettings van ontginning, wat toelaat dat aanvallers volle beheer oor Kindle-elektroniese boeke kry, wat net die gebruiker se e-pos adres ken.
'N Kenner op Inligting Sekuriteit Yogev Bar-hy van die Israeliese maatskappy Realmode Labs het kwesbaarhede in Oktober 2020 gevind.
Die eerste kwesbaarheid in die uitbuitingsketting is geassosieer met die "Stuur na Kindle" -funksie, wat die gebruiker toelaat om 'n elektroniese boek in Mobi-formaat na sy Kindle-toestel per e-pos as aanhangsel te stuur. Amazon bied 'n adres ****@kindle.com, waarvolgens u elektroniese boeke kan stuur vanaf enige e-posadres, wat voorheen deur die eienaar van die toestel goedgekeur is.
Yogev Bar-hy het uitgevind dat dit moontlik is om hierdie funksie te misbruik - jy kan per e-pos 'n spesiaal geskepde e-boek stuur, waarmee daar 'n arbitrêre kode op die teikenapparaat sal wees.
Met die hulp van 'n kwaadwillige elektroniese boek is dit moontlik om arbitrêre kode te verrig as gevolg van die werking van die biblioteekverwante kwesbaarheid wat die Kindle-toestel gebruik om JPEG XR-beelde te analiseer. Vir suksesvolle uitbuiting van kwesbaarhede was dit nodig dat die gebruiker op die skakel in die boek geklik het, wat 'n kwaadwillige JPEG XR-aanhangsel bevat. Na die opening van die skakel, het die blaaier en Cybercriminator Code geloods.
Ook, Yoogeev Bar-hy het 'n kwesbaarheid gevind wat toegelaat word om voorregte in te samel en die kode namens die wortelgebruiker uit te voer, wat in werklikheid aan die toestel volle toegang verskaf het.
"Die hackers kan maklik toegang tot die toestel se rekeninge kry, aankope in die Kindle-winkel maak met 'n slagoffer se vasgemaakte bankkaart. Dit was moontlik om 'n e-boek in die winkel te verkoop en geld na u rekening te oordra, "het die kroeg YOGEV opgemerk.
Cybercrime vir 'n suksesvolle aanval wat nodig is om die e-posadres van die gebruiker te ken en die slagoffer te oortuig om die skakel binne die kwaadwillige boek te volg.
Amazon onmiddellik na ontvangs van inligting oor die beskikbaarheid van kwesbaarhede wat hulle uitgeskakel het. Die deskundige is 'n vergoeding van 18 duisend dollar betaal.
In die volgende video kan jy sien hoe presies die aanval op die boeke van Kindle gehou word:
Meer interessante materiaal op cisoclub.ru. Teken in op ons: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NUUS | YouTube | Pols.