Amazon iddeċieda li jħallas $ 18,000 għall-iskoperta ta 'vulnerabbiltajiet u ktajjen ta' jisfruttaw, li jippermettu attakkanti biex jiksbu kontroll sħiħ fuq kotba elettroniċi Kindle, sempliċement jafu l-indirizz email tal-utent.
Espert dwar is-Sigurtà tal-Informazzjoni YoGev Bar-Huwa mill-Laboratorji Realmode tal-Kumpaniji Iżraeljani sabu vulnerabbiltajiet f'Ottubru 2020.
L-ewwel vulnerabbiltà fil-katina ta 'l-isfruttament kienet assoċjata mal-funzjoni "Ibgħat lil Kindle", li tippermetti lill-utent jibgħat ktieb elettroniku f'format Mobi lill-apparat Kindle tiegħu bl-email bħala sekwestru. Amazon jipprovdi indirizz ****@kindle.com, skond liema tista 'tibgħat kotba elettroniċi minn kwalunkwe indirizz elettroniku, li qabel kien approvat mis-sid tal-apparat.
YoGev Bar-Hu sab li huwa possibbli li din il-funzjoni tiġi abbuża - tista 'tibgħat e-book maħluq apposta bl-email, li biha jkun hemm kodiċi arbitrarju fuq l-apparat fil-mira.
Bl-għajnuna ta 'ktieb elettroniku malizzjuż, huwa possibbli li ssir kodiċi arbitrarju minħabba l-operazzjoni tal-vulnerabbiltà relatata mal-librerija li l-apparat Kindle juża biex janalizza l-istampi JPEG XR. Għal esplojtazzjoni b'suċċess tal-vulnerabbiltajiet, kien meħtieġ li l-utent għafast fuq il-link ġewwa l-ktieb, li kien fih twaħħil malizzjuż JPEG XR. Wara li tiftaħ il-link, il-kodiċi tal-browser u ċ-ċiberkriminatur imnedija.
Ukoll, Yogeev Bar-Huwa sab vulnerabbiltà li ppermettiet li jgħollu l-privileġġi u jeżegwixxi l-kodiċi f'isem l-utent għerq, li, fil-fatt, ipprovda lill-apparat aċċess sħiħ.
"Il-hackers jistgħu faċilment jaċċessaw il-kontijiet tal-apparat, jagħmlu xiri fil-maħżen Kindle bl-użu tal-karta tal-bank marbuta ta 'vittma. Kien possibli li tbigħ e-book fil-maħżen u ntrasferixxi l-flus lill-kont tiegħek, "innutat il-bar yogeev.
Cybercrime għal attakk ta 'suċċess meħtieġ li jkun jaf l-indirizz elettroniku tal-utent u jikkonvinċu lill-vittma li ssegwi l-link fil-ktieb malizzjuż.
Amazon immedjatament wara li tirċievi informazzjoni dwar id-disponibbiltà tal-vulnerabbiltajiet eliminati minnhom. L-espert tħallset remunerazzjoni ta '18 elf dollaru.
Fil-video li jmiss, tista 'tara kif eżattament l-attakk jinżamm fuq il-kotba ta' Kindle:
Materjal aktar interessanti fuq cisoclub.ru. Abbona għalina: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Ġdid | YouTube | Impuls.