Amazon aliamua kulipa $ 18,000 kwa kugundua udhaifu na minyororo ya kutumia, ambayo inaruhusu washambuliaji kupata udhibiti kamili juu ya vitabu vya elektroniki vya Kindle, tu kujua anwani ya barua pepe ya mtumiaji.
Mtaalam wa Usalama wa Habari Yogev Bar-yeye kutoka kampuni ya Israeli RealMode Labs alipata udhaifu mnamo Oktoba 2020.
Uvunjaji wa kwanza katika mlolongo wa matumizi ulihusishwa na kazi ya "kutuma kwa Kindle", kuruhusu mtumiaji kutuma kitabu cha elektroniki katika muundo wa Mobi kwa kifaa chake cha Kindle kwa barua pepe kama kiambatisho. Amazon hutoa anwani ****@kindle.com, kulingana na ambayo unaweza kutuma vitabu vya elektroniki kutoka kwa anwani yoyote ya barua pepe, ambayo hapo awali iliidhinishwa na mmiliki wa kifaa.
Bar ya Yogev-aligundua kwamba inawezekana kutumia kazi hii - unaweza kutuma e-kitabu maalum kwa barua pepe, ambayo kutakuwa na kanuni ya kiholela kwenye kifaa cha lengo.
Kwa msaada wa kitabu cha umeme cha malicious, inawezekana kufanya msimbo wa kiholela kutokana na uendeshaji wa uwezekano wa maktaba ambayo kifaa cha Kindle kinatumia kuchambua picha za jpeg xr. Kwa unyonyaji wa udhaifu wa udhaifu, ilikuwa ni lazima kwamba mtumiaji alibofya kwenye kiungo ndani ya kitabu, ambacho kilikuwa na kiambatisho cha JPEG XR. Baada ya kufungua kiungo, kivinjari na msimbo wa cybercriminator uliozinduliwa.
Pia, Yogeev Bar-alipata uwezekano wa kuruhusiwa kuongeza marupurupu na kutekeleza kanuni kwa niaba ya mtumiaji wa mizizi, ambayo, kwa kweli, imetolewa kwa upatikanaji kamili wa kifaa.
"Wahasibu wanaweza kufikia kwa urahisi akaunti za kifaa, kufanya manunuzi katika duka la Kindle kwa kutumia kadi ya benki iliyofungwa. Iliwezekana kuuza e-kitabu katika duka na kuhamisha fedha kwa akaunti yako, "Bar Yogeev alibainisha.
Cybercrime kwa shambulio la mafanikio linalohitajika kujua anwani ya barua pepe ya mtumiaji na kumshawishi mwathirika kufuata kiungo ndani ya kitabu cha malicious.
Amazon mara baada ya kupokea habari kuhusu upatikanaji wa udhaifu huondoa. Mtaalam huyo alilipwa mshahara wa dola 18,000.
Katika video inayofuata, unaweza kuona jinsi shambulio hilo linafanyika kwenye vitabu vya Kindle:
Vifaa vya kuvutia zaidi kwenye cisoclub.ru. Kujiunga na sisi: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Mtume | ICQ Mpya | YouTube | Pulse.