Amazon besloot om $ 18.000 te betalen voor de detectie van kwetsbaarheden en kettingen van exploit, die aanvallers toestaan om volledige controle te krijgen over Kindle Electronic Books, eenvoudigweg het e-mailadres van de gebruiker kennen.
Een expert op informatiebeveiliging Yogev Bar - hij van de Israëlische bedrijf RealMode Labs vond de kwetsbaarheden in oktober 2020.
De eerste kwetsbaarheid in de exploitieketen is geassocieerd met de functie "Verzenden naar Kindle", zodat de gebruiker een elektronisch boek in MOBI-formaat kan verzenden naar zijn Kindle-apparaat per e-mail als bijlage. Amazon biedt een adres ****@kindle.com, volgens welke u elektronische boeken kunt verzenden vanaf elk e-mailadres, dat eerder is goedgekeurd door de eigenaar van het apparaat.
Yogev Bar-hij kwam erachter dat het mogelijk is om deze functie te misbruiken - u kunt een speciaal gemerkt e-book per e-mail verzenden, waarmee een willekeurige code op het doelapparaat is.
Met behulp van een kwaadwillig elektronisch boek is het mogelijk om willekeurige code uit te voeren vanwege de werking van de bibliotheekgerelateerde kwetsbaarheid die het Kindle-apparaat gebruikt om JPEG XR-afbeeldingen te analyseren. Voor succesvolle exploitatie van kwetsbaarheden was het noodzakelijk dat de gebruiker op de link in het boek heeft geklikt, dat een kwaadwillende JPEG XR-bijlage bevatte. Na het openen van de link, de browser en cybercriminatorcode gelanceerd.
Ook, YOGEEV-balk - vond hij een kwetsbaarheid die de voorrechten toestaat en de code uitvoert namens de rootgebruiker, die, in feite verstrekt aan het apparaat volledige toegang.
"De hackers kunnen gemakkelijk toegang hebben tot de accounts van het apparaat, aankopen in de Kindle-winkel met behulp van de gebonden bankkaart van een slachtoffer. Het was mogelijk om een e-book in de winkel te verkopen en geld over te brengen naar uw account ", merkte de bar YoGEEV op.
Cybercriminaliteit voor een succesvolle aanval die nodig is om het e-mailadres van de gebruiker te kennen en het slachtoffer te overtuigen om de link binnen het kwaadwillende boek te volgen.
Amazon onmiddellijk na het ontvangen van informatie over de beschikbaarheid van kwetsbaarheden geëlimineerd ze. De expert werd een vergoeding van 18 duizend dollar betaald.
In de volgende video kun je zien hoe de aanval precies wordt gehouden op de boeken van Kindle:
Meer interessant materiaal op cisoclub.ru. Abonneer u op ons: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NIEUW | YouTube | Puls.