آمازون تصمیم گرفت 18000 دلار برای تشخیص آسیب پذیری ها و زنجیرهای بهره برداری پرداخت کند که به مهاجمان اجازه می دهد تا کنترل کامل کتاب های الکترونیکی Kindle را کنترل کنند، به سادگی دانستن آدرس ایمیل کاربر.
متخصص امنیت اطلاعات Yogev Bar-He از شرکت اسرائیل Realmode Labs آسیب پذیری را در اکتبر 2020 یافت.
اولین آسیب پذیری در زنجیره سوءاستفاده با عملکرد "ارسال به Kindle" همراه بود، به کاربر اجازه می دهد تا یک کتاب الکترونیکی را در قالب MOBI به دستگاه Kindle خود به عنوان یک پیوست ارسال کند. آمازون یک آدرس را فراهم می کند ****@kindle.com، با توجه به آن شما می توانید کتاب های الکترونیکی را از هر آدرس ایمیل ارسال کنید، که قبلا توسط صاحب دستگاه تایید شده است.
Yogev Bar- او متوجه شد که این امکان را برای سوء استفاده از این تابع وجود دارد - شما می توانید یک کتاب الکترونیکی خاص ایجاد شده توسط ایمیل ارسال کنید، که کدام یک از آنها یک کد دلخواه در دستگاه هدف وجود دارد.
با کمک یک کتاب الکترونیکی مخرب، ممکن است کد دلخواه را به دلیل عملکرد آسیب پذیری مربوط به کتابخانه که دستگاه Kindle برای تجزیه و تحلیل تصاویر JPEG XR استفاده می کند، انجام شود. برای بهره برداری موفق از آسیب پذیری، لازم بود که کاربر بر روی لینک در داخل کتاب کلیک کرد، که حاوی پیوست JPEG XR مخرب بود. پس از باز کردن لینک، مرورگر و کد Cybercriminator راه اندازی شد.
همچنین، Yogeev Bar - او یک آسیب پذیری را پیدا کرد که مجاز به افزایش امتیازات و اجرای کد به نمایندگی از کاربر ریشه، که در واقع، به دسترسی کامل به دستگاه ارائه شده است.
"هکرها به راحتی می توانند به حساب های دستگاه دسترسی پیدا کنند، خرید را در فروشگاه Kindle با استفاده از کارت بانکی گره خورده قربانی کنند. این امکان بود که یک کتاب الکترونیکی در فروشگاه را به فروش برسانید و پول را به حساب خود انتقال دهید، "نوار یوگایو اشاره کرد.
Cybercrime برای یک حمله موفق نیاز به دانستن آدرس ایمیل کاربر و متقاعد کردن قربانی به دنبال لینک در کتاب مخرب.
آمازون بلافاصله پس از دریافت اطلاعات در مورد دسترسی به آسیب پذیری آنها را حذف کرد. متخصص پرداخت 18 هزار دلار پرداخت شد.
در ویدیو بعدی، می توانید ببینید که دقیقا این حمله در کتاب های Kindle برگزار می شود:
مواد جالب تر در Cisoclub.ru. مشترک شدن در ایالات متحده: فیس بوک | VK | توییتر | نمایش مشخصات عمومی | تلگرام | ذن | مسنجر | ICQ جدید | یوتیوب | نبض.