Amazon postanowił zapłacić 18 000 $ za wykrycie luk i łańcuchów Exploit, które umożliwiają napastnikom pełną kontrolę nad Kindle Electronic Books, po prostu znając adres e-mail użytkownika.
Ekspert na temat bezpieczeństwa Bezpieczeństwo Yogev Bar-on z izraelskiej firmy RealMode Labs znalazł luki w październiku 2020 r.
Pierwsza luka w łańcuchu Exploit była związana z funkcją "Wyślij do Kindle", umożliwiając użytkownikowi wysłanie książki elektronicznej w formacie Mobi do urządzenia Kindle przez e-mail jako załącznik. Amazon zapewnia adres ****@kałowy.com, zgodnie z którym można wysłać książki elektroniczne z dowolnego adresu e-mail, który został wcześniej zatwierdzony przez właściciela urządzenia.
Yogev Bar - dowiedział się, że możliwe jest nadużywanie tej funkcji - możesz wysłać specjalnie utworzoną e-book pocztą elektroniczną, z którą pojawi się dowolna kodu na urządzeniu docelowym.
Za pomocą złośliwej książki elektronicznej możliwe jest wykonywanie dowolnego kodu ze względu na działanie luki związanej z biblioteką, że urządzenie Kindle wykorzystuje do analizy obrazów JPEG XR. W celu skutecznej eksploatacji luk, konieczne było, aby użytkownik klikał link w książce, która zawierała złośliwy załącznik JPEG XR. Po otwarciu łącza, przeglądarka i kod cyberprzestrzeni został uruchomiony.
Również barek Yogeev - znalazł lukę, która pozwoliła podnieść przywileje i wykonywać kod w imieniu użytkownika root, który w rzeczywistości dostarczył urządzenie pełny dostęp.
"Hakerzy mogli łatwo uzyskać dostęp do kont urządzenia, dokonywać zakupów w sklepie Kindle za pomocą wiązanej karty bankowej ofiary. Można sprzedać e-book w sklepie i przenosić pieniądze na konto ", zauważył bar Yogeev.
Cyberrime dla udanego ataku wymaganego do poznania adresu e-mail użytkownika i przekonuje ofiarę, aby śledzić link w złośliwej książce.
Amazon natychmiast po otrzymaniu informacji o dostępności luk w zabezpieczeniach ich wyeliminowało. Ekspert został zapłacony wynagrodzeniem 18 tysięcy dolarów.
W następnym filmie widać, jak dokładnie zatrzymuje się atak na książki Kindle:
Bardziej interesujący materiał na cisoclub.ru. Subskrybuj nam: Facebook | Vk |. Twitter |. Instagram |. Telegram |. Zen |. Messenger |. ICQ Nowy |. YouTube |. Puls.