Amazon sa rozhodol zaplatiť 18.000 dolárov za detekciu zraniteľností a reťazcov využitia, ktoré umožňujú útočníkom, aby získali plnú kontrolu nad elektronickými knihami Kindle, jednoducho poznajú e-mailovú adresu používateľa.
Odborník na informačnú bezpečnosť Yogev Bar-on z izraelskej spoločnosti Realmode Labs našiel zraniteľnosti v októbri 2020.
Prvá zraniteľnosť v exploitovom reťazci bola spojená s funkciou "Odoslať na Kindle", čo umožňuje užívateľovi poslať elektronickú knihu v Mobile formáte MOBI na svoje zariadenie Kindle e-mailom ako prílohu. Amazon poskytuje adresu *****@kindle.com, podľa ktorého môžete posielať elektronické knihy z akejkoľvek e-mailovej adresy, ktorá bola predtým schválená vlastníkom zariadenia.
YOGEV BAR - Zistil, že je možné túto funkciu zneužívať - môžete poslať špeciálne vytvorenú e-knihu e-mailom, s ktorou bude na cieľovom zariadení poslať ľubovoľného kódu.
S pomocou škodlivého elektronickej knihy je možné vykonať ľubovoľný kód z dôvodu fungovania zraniteľnosti súvisiacej s knižnicou, ktorú zariadenie Kindle používa na analýzu obrázkov JPEG XR. Na úspešné využívanie zraniteľnosti bolo potrebné, aby používateľ klikol na odkaz vo vnútri knihy, ktorý obsahoval škodlivú prílohu JPEG XR. Po otvorení odkazu sa spustil prehliadač a kód cybercriminator.
Tiež Yogeev Bar-on zistil zraniteľnosť, ktorá umožnila zvýšiť privilégiá a vykonať kód v mene používateľa root, ktorý v skutočnosti poskytol kompletný prístup.
"Hackeri by mohli ľahko pristupovať k účtom zariadenia, prijímať nákupy v obchode Kindle s použitím zviazanej bankovej karty obete. Bolo možné predávať e-knihu v obchode a previesť peniaze na váš účet, "poznamenal Bar Yogeev.
Cybercrime pre úspešný útok potrebný na poznanie e-mailovej adresy užívateľa a presvedčiť obeť, aby dodržiavali odkaz v zlomku škodlivej knihy.
Amazon ihneď po prijatí informácií o dostupnosti zraniteľnosti ich eliminovali. Odborník bol vyplatený odmeňovanie 18 tisíc dolárov.
V ďalšom videu môžete vidieť, ako sa presne útok koná na knihách Kindle:
Zaujímavejší materiál na cisoclub.ru. Prihlásiť sa na nás: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NOVÉ | YouTube | Pulz.