Amazon se je odločil plačati 18.000 dolarjev za odkrivanje ranljivosti in verig izkoriščanja, ki omogoča napadalcem, da dobijo popoln nadzor nad Kindle elektronske knjige, preprosto poznajo uporabniški e-poštni naslov.
Strokovnjak za informacijsko varnost Yogev Bar - On iz izraelskega podjetja Realmode Labs je našla ranljivosti v oktobru 2020.
Prva ranljivost v verigi izkoriščanja je bila povezana z funkcijo »Pošlji na Kindle«, ki uporabniku omogoča, da pošlje elektronsko knjigo v formatu MoBI na svojo Kindle napravo po e-pošti kot prilogo. Amazon ponuja naslov ****@kindle.com, v skladu s katerim lahko pošljete elektronske knjige iz katerega koli e-poštnega naslova, ki ga je že prej odobril lastnik naprave.
Yogev bar - Ugotovil je, da je mogoče zlorabiti to funkcijo - lahko pošljete posebej ustvarjeno e-knjigo po e-pošti, s katerimi bo na ciljni napravi poljuben kodeks.
S pomočjo zlonamerne elektronske knjige je mogoče izvesti poljubno kodo zaradi delovanja ranljivosti, povezane s knjižnicami, ki jo naprava Kindle uporablja za analizo slik JPEG XR. Za uspešno izkoriščanje ranljivosti je bilo potrebno, da uporabnik s klikom na povezavo v knjigi, ki je vsebovala zlonamerni JPEG XR prilogo. Po odprtju povezave se je začel brskalnik in koda Cybercriminator.
Tudi YogeEV bar - je našel ranljivost, ki je omogočila dvig privilegijev in izvršila kodo v imenu korenskega uporabnika, ki je v resnici, ki je na voljo na voljo popoln dostop.
"Hekerji bi lahko zlahka dostopali do računov naprave, nakup v trgovini Kindle s pomočjo žrtve vezana bančna kartica. Možno je bilo prodati e-knjigo v trgovini in prenesti denar na vaš račun, "Bar Yogeev je opazil.
Cybercrime za uspešen napad, ki je potreben za poznavanje e-poštnega naslova uporabnika in prepričati žrtev, da sledi povezavi v zlonamerni knjigi.
Amazon takoj po prejemu informacij o razpoložljivosti ranljivosti, ki jih je odstranila. Strokovnjak je bil izplačan nagrajevanje 18 tisoč dolarjev.
V naslednjem videu si lahko ogledate, kako natančno je napad na knjigah Kindle:
Bolj zanimivo gradivo na Cisoclub.ru. Naročite se na nas: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ novo | YouTube | Pulse.