Penderfynodd Amazon dalu $ 18,000 ar gyfer canfod gwendidau a chadwyni o fanteisio, sy'n caniatáu i ymosodwyr gael rheolaeth lawn dros lyfrau electronig Kindle, gan wybod cyfeiriad e-bost y defnyddiwr.
Roedd arbenigwr ar ddiogelwch gwybodaeth Yogev Bar-AU o gwmni Israel RealMode Labs yn dod o hyd i wendidau ym mis Hydref 2020.
Roedd y bregusrwydd cyntaf yn y gadwyn fanteisio yn gysylltiedig â'r swyddogaeth "Anfon i Kindle", gan ganiatáu i'r defnyddiwr anfon llyfr electronig yn fformat Mobi i'w ddyfais Kindle drwy e-bost fel atodiad. Mae Amazon yn darparu cyfeiriad ****@kindle.com, yn ôl y gallwch anfon llyfrau electronig o unrhyw gyfeiriad e-bost, a gymeradwywyd yn flaenorol gan berchennog y ddyfais.
BAR YOGEV - Cafodd ei bod yn bosibl cam-drin y swyddogaeth hon - gallwch anfon e-lyfr a grëwyd yn arbennig drwy e-bost, y bydd cod mympwyol arno ar y ddyfais darged.
Gyda chymorth llyfr electronig maleisus, mae'n bosibl cyflawni cod mympwyol oherwydd gweithrediad y bregusrwydd sy'n gysylltiedig â'r llyfrgell y mae'r ddyfais Kindle yn ei ddefnyddio i ddadansoddi delweddau JPEG XR. Er mwyn i fanteisio'n llwyddiannus ar wendidau, roedd angen bod y defnyddiwr yn clicio ar y ddolen y tu mewn i'r llyfr, a oedd yn cynnwys ymlyniad maleisus JPEG XR. Ar ôl agor y ddolen, lansiodd y cod porwr a seiber-archwiliwr.
Hefyd, yogeev Bar - canfu fod yn agored i niwed a oedd yn caniatáu i godi breintiau a gweithredu'r cod ar ran y defnyddiwr gwraidd, sydd, mewn gwirionedd, wedi'i ddarparu i fynediad llawn i'r ddyfais.
"Gallai'r hacwyr gael mynediad hawdd i gyfrifon y ddyfais, gwneud pryniannau yn y siop Kindle gan ddefnyddio cerdyn banc clwm dioddefwr. Roedd yn bosibl gwerthu e-lyfr yn y siop a throsglwyddo arian i'ch cyfrif, "Nododd y bar Yogeev.
Seiberdrosh am ymosodiad llwyddiannus sy'n ofynnol i wybod cyfeiriad e-bost y defnyddiwr ac yn argyhoeddi'r dioddefwr i ddilyn y ddolen o fewn y llyfr maleisus.
Amazon yn syth ar ôl derbyn gwybodaeth am argaeledd gwendidau eu dileu. Talwyd tâl o 18 mil o ddoleri i'r arbenigwr.
Yn y fideo nesaf, gallwch weld sut yn union yr ymosodiad yn cael ei ddal ar y llyfrau o Kindle:
Deunydd mwy diddorol ar Cisoclub.ru. Tanysgrifiwch i ni: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NEWYDD | YouTube | Pwls.