Amazono decidis pagi 18.000 USD por la detekto de vundeblecoj kaj ĉenoj de ekspluato, kiuj permesas al atakantoj akiri plenan kontrolon pri Kindle Electronic-libroj, simple sciante la retpoŝtadreson de la uzanto.
Sperta pri informa sekureco Yogev Bar-li de la israela kompanio Realmode Labs trovis vundeblecojn en oktobro 2020.
La unua vundebleco en la ekspluatanta ĉeno estis asociita kun la funkcio "Sendi al Kindle", permesante al la uzanto sendi elektronikan libron en MOBI-formato al ĝia Kindle-aparato retpoŝte kiel alligitaĵo. Amazono provizas adreson ***@kindle.com, laŭ kiu vi povas sendi elektronikajn librojn de iu ajn retpoŝta adreso, kiu antaŭe estis aprobita de la posedanto de la aparato.
Yogev Bar-li eksciis, ke eblas misuzi ĉi tiun funkcion - vi povas sendi speciale kreitan elektronikan libron per retpoŝto, kun kiu estos arbitra kodo en la cela aparato.
Kun la helpo de malica elektronika libro, eblas plenumi arbitran kodon pro la funkciado de la biblioteko-rilata vundebleco, kiun la Kindle-aparato uzas por analizi JPEG XR-bildojn. Por sukcesa ekspluatado de vundeblecoj, necesis, ke la uzanto klakis la ligon ene de la libro, kiu enhavis malican JPEG XR-aldonaĵon. Post malfermo de la ligilo, la retumilo kaj Cybercriminador-kodo lanĉita.
Ankaŭ, Yogeev-trinkejo-li trovis vundeblecon, kiu permesis kreskigi privilegiojn kaj ekzekuti la kodon nome de la radika uzanto, kiu fakte provizis al la kompleta aliro al la aparato.
"La hackers povus facile aliri la kontojn de la aparato, aĉetu en la Kindle-butiko per la ligita bordo de viktimo. Eblas vendi elektronikan libron en la butiko kaj transdoni monon al via konto, "la stango Yogeev notis.
Cybercrime por sukcesa atako bezonata por koni la retpoŝtadreson de la uzanto kaj konvinki la viktimon sekvi la ligon ene de la malica libro.
Amazono tuj post ricevado de informoj pri la havebleco de vundeblecoj forigis ilin. La spertulo pagis rekompencon de 18 mil dolaroj.
En la sekva video, vi povas vidi, kiel ekzakte la atako okazas sur la libroj de Kindle:
Pli interesa materialo pri Cisoclub.ru. Abonu nin: Facebook | Vk | Twitter | Instagram | Telegramo | Zen | Messenger | ICQ New | YouTube | Pulso.