Amazon ákvað að borga $ 18.000 til að greina veikleika og keðjur af hagnýtum, sem leyfa árásarmönnum að fá fulla stjórn á Kveikja rafrænu bækur, einfaldlega að vita netfang notandans.
Sérfræðingur á upplýsingaöryggi Yogev Bar-hann frá ísraelska félaginu RealMode Labs fann veikleika í október 2020.
Fyrsta varnarleysi í hagnýtar keðju var tengt við "Senda til Kveikja" virka, sem gerir notandanum kleift að senda rafræna bók í Mobi-sniði í Kveikja tækisins með tölvupósti sem viðhengi. Amazon veitir heimilisfang ****@kindle.com, samkvæmt sem þú getur sent rafræna bækur úr hvaða netfangi sem áður var samþykkt af eiganda tækisins.
Yogev Bar-Hann komst að því að hægt er að misnota þessa aðgerð - þú getur sent sérstakt búið til e-bók með tölvupósti, sem það verður handahófskennt kóða á miða tækinu.
Með hjálp illgjarnrar rafræna bókar er hægt að framkvæma handahófskennt kóða vegna reksturs bókasafns sem tengist varnarleysi sem Kveikjabúnaður notar til að greina JPEG XR myndir. Til að ná árangri í veikindum var nauðsynlegt að notandinn smellti á tengilinn inni í bókinni, sem innihélt illgjarn JPEG XR viðhengi. Eftir að hlaðin er opnuð, vafrinn og Cybercriminator kóða hleypt af stokkunum.
Einnig, Yogeev Bar-hann fannst varnarleysi sem leyfði að hækka réttindi og framkvæma kóðann fyrir hönd rót notanda, sem í raun veitt til tækisins fullan aðgang.
"Tölvusnápur gætu auðveldlega nálgast reikninga tækisins, kaupir í Kveikjaversluninni með því að nota bankakort fórnarlambsins. Það var hægt að selja e-bók í versluninni og flytja peninga á reikninginn þinn, "Bar Yogeev benti á.
CyberCrime fyrir árangursríka árás sem þarf að vita netfang notandans og sannfæra fórnarlambið til að fylgja tengilinn innan illgjarnrar bókar.
Amazon strax eftir að hafa fengið upplýsingar um framboð á veikleikum sem útrýma þeim. Sérfræðingurinn var greiddur þóknun 18 þúsund dollara.
Í næsta myndbandi er hægt að sjá hvernig nákvæmlega árásin er haldin á bækurnar af Kveikja:
Meira áhugavert efni á cisoclub.ru. Gerast áskrifandi að okkur: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NEW | YouTube | Púls.