Amazon besleat $ 18.000 te beteljen foar de deteksje fan kwetsberens fan kwetsberens fan eksploitaasje, dy't oanfallers tastean om folsleine kontrôle te krijen oer Kindle elektroanyske boeken, gewoan it e-postadres fan 'e brûker.
In ekspert op ynformaasje-befeiliging Yogev-bar-hy fan it Israelyske bedriuw ElandMode Labs fûn yn oktober 2020.
De earste kwetsberens yn 'e eksploitearjende ketting waard assosjeare mei de funksje "Stjoer nei Kindle", wêrtroch't de brûker in elektroanysk boek stjoert yn Mobi-formaat nei syn Kindle-apparaat per e-post as bylage. Amazon biedt in adres ****@kindle.com, neffens hokker jo elektroanyske boeken kinne stjoere fan elke e-postadres, dat earder waard goedkard troch de eigner fan it apparaat.
Yogev Bar - hy fûn út dat it mooglik is om dizze funksje te misbrûkjen - jo kinne in spesjaal in spesjaal e-boek fia e-post stjoere, wêrtroch d'r in willekeurich koade sil wêze op it doelapparaat.
Mei de help fan in kwea-aardich elektroanysk boek is it willekeurich koade út te fieren fanwege de wurking fan 'e biblioteek-relatearre kwetsberens dat it Kindle-apparaat brûkt om jpeg xr-ôfbyldings te analysearjen. Foar suksesfolle eksploitaasje fan kwetsberheden wie it nedich dat de brûker klikke op 'e keppeling yn it boek, dy't in kwea-aardige JPEG XR-bylage befette. Nei it iepenjen fan 'e link, lansearre de krowser en Cybercriminatorkoade.
Ek gogeev bar-hy fûn in kwetsberens dy't tastiet om privileezjes te ferheegjen en de koade út te fieren út namme fan 'e haadbrûker, dy't, yn feite levere oan it apparaat folsleine tagong.
"De hackers koene maklik tagong krije ta de akkounts fan it apparaat, meitsje oankeapen yn 'e Kindle Store mei de TODE Bank CARD fan in slachtoffer. It wie mooglik in e-boek te ferkeapjen yn 'e winkel yn' e winkel en jild oerdrage oan jo akkount, "De Bar Yogev notearre.
Cybercrime foar in suksesfolle oanfal dy't nedich is om it e-postadres fan 'e brûker te kennen en it slachtoffer oertsjûgje om de keppeling te folgjen binnen it kweade boek.
Amazon direkt nei it ûntfangen fan ynformaasje oer de beskikberens fan kwetsberheden elimineare se. De ekspert waard betelle in fergoeding fan 18 tûzen dollar.
Yn 'e folgjende fideo kinne jo sjen hoe't de oanfal de oanfal op' e boeken fan Kindle wurdt hâlden:
Mear ynteressanter materiaal op cisoclub.ru. Abonnearje op US: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Nij | YouTube | Pols.