Amazon a decis să plătească 18.000 de dolari pentru detectarea vulnerabilităților și lanțurilor de exploatare, care permit atacatorilor să obțină controlul deplin asupra cărților electronice Kindle, pur și simplu cunoscând adresa de e-mail a utilizatorului.
Un expert în domeniul securității informațiilor Yogev Bar - el de la compania israeliană Realmode Labs găsite vulnerabilități în octombrie 2020.
Prima vulnerabilitate din lanțul de exploatare a fost asociată cu funcția "Trimite to Kindle", permițând utilizatorului să trimită o carte electronică în format MOBI pe dispozitivul său Kindle prin e-mail ca atașament. Amazon oferă o adresă ****@kindle.com, conform căreia puteți trimite cărți electronice de la orice adresă de e-mail, care a fost aprobată anterior de proprietarul dispozitivului.
Yogev Bar - a aflat că este posibil să abuzați această funcție - puteți trimite o carte electronică special creată prin e-mail, cu care va exista un cod arbitrar pe dispozitivul țintă.
Cu ajutorul unei cărți electronice rău intenționate, este posibil să se efectueze un cod arbitrar datorită funcționării vulnerabilității legate de bibliotecă pe care dispozitivul Kindle utilizează pentru a analiza imaginile JPEG XR. Pentru exploatarea cu succes a vulnerabilităților, era necesar ca utilizatorul să facă clic pe legătura din interiorul cărții, care conținea un atașament JPEG XR rău. După deschiderea legăturii, lansarea codului browser și cibernetic.
De asemenea, barul Yogeev - a găsit o vulnerabilitate care a permis să ridice privilegii și să execute codul în numele utilizatorului rădăcină, care, de fapt, furnizat accesului complet al dispozitivului.
"Hackerii ar putea accesa cu ușurință conturile dispozitivului, pot achiziționa în magazinul Kindle folosind cardul bancar legat de victimă. A fost posibil să vindeți o carte electronică în magazin și să transferați bani în contul dvs. ", a remarcat barul Yogeev.
Cibernetic pentru un atac de succes necesar pentru a cunoaște adresa de e-mail a utilizatorului și pentru a convinge victima să urmeze legătura în cartea rău intenționată.
Amazon imediat după primirea informațiilor despre disponibilitatea vulnerabilităților le-a eliminat. Expertul a fost plătit o remunerație de 18 mii de dolari.
În următorul videoclip, puteți vedea cum se ține exact atacul pe cărțile lui Kindle:
Material mai interesant pe cisoclub.ru. Aboneaza-te la noi: Facebook | VK | Twitter | Instagram | Telegrama | Zen |. Messenger | ICQ Nou | YouTube | Puls.