Amazon je odlučio platiti 18.000 dolara za otkrivanje ranjivosti i lanca eksploata, koji omogućavaju napadačima da dobije potpunu kontrolu nad Kindle elektronskim knjigama, jednostavno znajući korisničku adresu e-pošte.
Stručnjak za informacijske sigurnosti Yogev bar-on iz izraelske kompanije Realmode Labs pronašao je ranjivosti u oktobru 2020. godine.
Prva ranjivost u exploit lancu bila je povezana s funkcijom "Pošalji na Kindle", omogućujući korisniku da pošalje elektroničku knjigu u Mobi Format na svoj vrtići uređaj e-poštom kao privitak. Amazon nudi adresu ****@kindle.com, prema kojima možete poslati elektroničke knjige sa bilo koje adrese e-pošte, što je prethodno odobrio vlasnik uređaja.
Yogev bar - otkrio je da je moguće zloupotrebiti ovu funkciju - možete poslati posebno kreiranu e-knjigu e-poštom, s kojom će biti proizvoljni kod na ciljnom uređaju.
Uz pomoć zlonamjernog elektroničkog knjige, moguće je izvesti proizvoljni kod zbog rada ranjivosti povezane biblioteke da se Kindle uređaj koristi za analizu JPEG XR slika. Za uspješno iskorištavanje ranjivosti bilo je potrebno da korisnik kliknuli na vezu unutar knjige, koji je sadržavao zlonamjerni JPEG XR privitak. Nakon otvaranja veze, pokrenut je kôd pretraživača i cyberkriminatora.
Takođe, Yogeev bar - pronašao je ranjivost koja je omogućila da prikupi privilegije i izvrši Kodeks u ime korijenskog korisnika, koji se u stvari, u stvari, u stvari, u stvari, u stvari, u stvari, u stvari, u stvari, u stvari, u stvari, u stvari, u stvari,
"Hakeri bi lako mogli pristupiti računima uređaja, izvršite kupovinu u prodavnici Kindle pomoću vezane bankovne kartice žrtve. Bilo je moguće prodati e-knjigu u trgovini i prenijeti novac na vaš račun ", primijetio je bar Yogeev.
Cybercrime za uspješan napad potreban je znati adresu e-pošte korisnika i uvjeriti žrtvu da slijedi vezu u zlonamjernom knjizi.
Amazon odmah nakon prijema podataka o dostupnosti ranjivosti eliminirali su ih. Stručnjak je uplaćen naknada od 18 hiljada dolara.
U sljedećem videu možete vidjeti kako se tačno napad održava na knjigama Kindlea:
Zanimljiviji materijal na cisoclub.ru. Pretplatite se na nas: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NOVO | YouTube | Puls.