Амазон одлучи да плати 18.000 долари за откривање на слабости и синџири на експлоатација, што им овозможува на напаѓачите да добијат целосна контрола врз поттикне електронски книги, едноставно да ја знаат е-мејл адресата на корисникот.
Експерт за безбедноста на информациите Јогев - тој од израелската компанија RealMode Labs најде слабости во октомври 2020 година.
Првата ранливост во синџирот на експлоатација беше поврзана со функцијата "Испрати до поттикне", овозможувајќи му на корисникот да испрати електронска книга во Mobi формат на својот уред за поттикне преку е-пошта како прилог. Амазон обезбедува адреса ****@Kindle.com, според која можете да испраќате електронски книги од било која е-адреса, која претходно беше одобрена од сопственикот на уредот.
Јегев Бар - дозна дека е можно да се злоупотреби оваа функција - можете да испратите специјално креирана е-книга преку е-пошта, со што ќе има произволен код на целниот уред.
Со помош на злонамерни електронски книги, можно е да се изврши произволен код поради работењето на ранливоста поврзана со библиотеката што го користи уредот за поттикнување за да ги анализира JPEG XR сликите. За успешна експлоатација на слабостите, неопходно е корисникот да кликне на линкот во книгата, која содржеше злонамерни JPEG XR прилог. По отворањето на врската, лансиран кодот на прелистувачот и киберкриминаторот.
Исто така, бар на Јогеев - тој најде ранливост која е дозволено да се подигне привилегии и да го изврши кодот во име на коренот корисник, кој, всушност, се предвидени на уредот целосен пристап.
"Хакерите лесно можат да пристапат до сметките на уредот, да направат купувања во продавницата за поттикнување со помош на банкарска картичка на жртвата. Можно е да се продаде е-книга во продавницата и да се префрлат пари на вашата сметка ", истакна Бар Јогеев.
Компјутерски криминал за успешен напад потребен за да се знае е-мејл адресата на корисникот и да ја убеди жртвата да ја следи врската во малициозната книга.
Амазон веднаш по добивањето на информации за достапноста на слабостите ги елиминираше. Експертот беше посветен на надомест од 18 илјади долари.
Во следното видео, можете да видите како точно се одржува нападот на книгите на поттикне:
Повеќе интересен материјал на cisoclub.ru. Претплатете се на нас: Фејсбук | VK | Твитер | Instagram | Телеграма | Зен | Messenger | ICQ New | YouTube | Пулс.