Amazon otsustas maksta 18 000 dollarit haavatavuste avastamiseks ja ärakasutamise ahelate avastamiseks, mis võimaldavad ründajatel saada täielikku kontrolli Kindle'i elektrooniliste raamatute üle, teades lihtsalt kasutaja e-posti aadressi.
Ekspert infoturbe jogev baar-ta Iisraeli firma Realmode Labs leitud haavatavusi 2020. aasta oktoobris.
Esimene haavatavust ekspluateerimise ahelas seostati "Saada Kindle" funktsiooni, mis võimaldab kasutajal saata elektroonilise raamatu Mobi formaadis oma Kindle Device e-posti manusena. Amazon pakub aadressi ****@kinindle.com, mille kohaselt saate saata elektroonilisi raamatuid mis tahes e-posti aadressilt, mis oli seadme omanik varem heaks kiitnud.
Jogev Bar-ta sai teada, et see funktsioon on võimalik kuritarvitada - saate saata spetsiaalselt loodud e-raamatu e-posti teel, millega sihtseadmel on meelevaldne kood.
Mis abiga pahatahtliku elektroonilise raamatu, on võimalik teha meelevaldse koodi tõttu operatsiooni raamatukogu seotud haavatavuse, et Kindle seade kasutab analüüsida JPEG XR pilte. Tugevatele puuduste edukaks kasutamiseks oli vaja, et kasutaja klõpsas raamatu sees lingil, mis sisaldas pahatahtlikku JPEG XR kinnitust. Pärast lingi avamist käivitati brauseri ja küberjuhtimisnumbri kood.
Samuti leidis Yogeev Bar-ta haavatavuse, mis lubas tõsta privileege ja täita koodi juurekasutaja nimel, mis tegelikult tagab seadme täieliku juurdepääsu.
"Häkkerid võivad seadme kontodele kergesti ligi pääseda, teha ostud Kindle Store'is, kasutades ohvri seotud pangakaarti. Oli võimalik müüa e-raamatu poest ja edastada raha oma kontole, "märkis baar Yogeev.
Küberkuritegevus eduka rünnaku jaoks, mis on vajalik kasutaja e-posti aadressi tundmiseks ja veenda ohvrit, et järgida linki pahatahtliku raamatus.
Amazon kohe pärast informatsiooni saamist haavatavuste kättesaadavuse kohta nende kõrvaldas. Ekspert maksti tasu 18 tuhande dollari eest.
Järgmises videos näete, kuidas täpselt rünnak toimub Kindle'i raamatutes:
Huvitavamat materjali Cisoclub.ru. Telli US: Facebook | VK | Twitter | Instagram | Telegramm | Zen | Messenger | ICQ Uus | YouTube | Impulsi.