Amazon besluttede at betale $ 18.000 til påvisning af sårbarheder og udnyttelseskæder, som tillader angriberne at få fuld kontrol over Kindle elektroniske bøger, blot kende brugerens e-mail-adresse.
En ekspert på informationssikkerhed Yogev Bar-han fra det israelske selskab RealMode Labs fandt sårbarheder i oktober 2020.
Den første sårbarhed i udnyttelseskæden var forbundet med funktionen "Send til Kindle", så brugeren kan sende en elektronisk bog i MOBI-format til sin Kindle-enhed via e-mail som en vedhæftet fil. Amazon giver en adresse ****@kindle.com, ifølge hvilken du kan sende elektroniske bøger fra en e-mail-adresse, som tidligere blev godkendt af ejeren af enheden.
Yogev Bar-han fandt ud af, at det er muligt at misbruge denne funktion - du kan sende en specielt oprettet e-bog via e-mail, med hvilken der vil være en vilkårlig kode på målenheden.
Ved hjælp af en ondsindet elektronisk bog er det muligt at udføre vilkårlig kode på grund af driften af bibliotekets relaterede sårbarhed, som Kindle-enheden bruger til at analysere JPEG XR-billeder. For vellykket udnyttelse af sårbarheder var det nødvendigt, at brugeren klikkede på linket inde i bogen, som indeholdt en ondsindet JPEG XR-vedhæftning. Efter åbning af linket lancerede browseren og cyberkriminatorkoden.
Også JoGeev Bar-han fandt en sårbarhed, der fik lov til at rejse privilegier og udføre koden på vegne af rodbrugeren, som faktisk gav til enheden fuld adgang.
"Hackere kunne nemt få adgang til enhedens konti, foretage køb i Kindle Store ved hjælp af et offers bundet bankkort. Det var muligt at sælge en e-bog i butikken og overføre penge til din konto, "bemærkede baren Yogeev.
Cyberkriminalitet til et vellykket angreb, der kræves for at kende brugerens e-mail-adresse og overbevise offeret om at følge linket i den ondsindede bog.
Amazon umiddelbart efter at have modtaget oplysninger om tilgængeligheden af sårbarheder elimineret dem. Eksperten blev betalt en vederlag på 18 tusind dollars.
I den næste video kan du se, hvordan præcist angrebet holdes på Kindle Bøger:
Mere interessant materiale på cisoclub.ru. Abonner på os: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NYE | YouTube | Puls.