అమెజాన్ దోపిడీలు మరియు గొలుసులను గుర్తించేందుకు $ 18,000 చెల్లించాలని నిర్ణయించుకుంది, ఇది దాడి చేసేవారు కిండ్ల్ ఎలక్ట్రానిక్ పుస్తకాలపై పూర్తి నియంత్రణను పొందుతారు, వినియోగదారు యొక్క ఇమెయిల్ చిరునామాను తెలుసుకోవడం.
ఇన్ఫర్మేషన్ సెక్యూరిటీ యోగావ్ బార్లో నిపుణుడు అక్టోబర్ 2020 లో ఇస్రాయెలీ కంపెనీ రియల్మోడ్ ల్యాబ్ల నుండి అతను హానిని కనుగొన్నాడు.
దోపిడీ గొలుసులో మొదటి దుర్బలత్వం "కిండ్ల్" ఫంక్షన్తో సంబంధం కలిగి ఉంది, వినియోగదారుని అటాచ్మెంట్గా ఇమెయిల్ ద్వారా దాని కిండ్ల్ పరికరానికి మోబి ఫార్మాట్లో ఒక ఎలక్ట్రానిక్ పుస్తకాన్ని పంపడానికి అనుమతిస్తుంది. అమెజాన్ ఒక చిరునామాను అందిస్తుంది ****@kindle.com, ఇది ఏ ఇమెయిల్ చిరునామా నుండి ఎలక్ట్రానిక్ పుస్తకాలను పంపగలదు, ఇది గతంలో పరికరం యొక్క యజమాని ద్వారా ఆమోదించబడింది.
Yogev Bar- అతను ఈ ఫంక్షన్ దుర్వినియోగం సాధ్యమే కనుగొన్నారు - మీరు లక్ష్య పరికరం ఒక ఏకపక్ష కోడ్ ఉంటుంది, ఇది ఇమెయిల్ ద్వారా ఒక ప్రత్యేకంగా రూపొందించినవారు ఇ-బుక్ పంపవచ్చు.
ఒక హానికరమైన ఎలక్ట్రానిక్ పుస్తకం సహాయంతో, లైబ్రరీ సంబంధిత దుర్బలత్వం యొక్క ఆపరేషన్ కారణంగా ఏకపక్ష కోడ్ను నిర్వహించడం సాధ్యపడుతుంది, ఇది కిండ్ల్ పరికరం JPEG XR చిత్రాలను విశ్లేషించడానికి ఉపయోగిస్తుంది. ప్రమాదాల విజయవంతమైన దోపిడీ కోసం, యూజర్ ఒక హానికరమైన JPEG XR అటాచ్మెంట్ కలిగి పుస్తకం లోపల లింక్, క్లిక్ అవసరం. లింక్ను తెరిచిన తరువాత, బ్రౌజర్ మరియు సైబ్రిమినిటర్ కోడ్ ప్రారంభించబడింది.
కూడా, యోగెవ్ బార్-అతను అధికారాలను పెంచడానికి మరియు రూట్ యూజర్ తరపున కోడ్ను అమలు చేయడానికి అనుమతించే ఒక దుర్బలతను కనుగొన్నారు, ఇది వాస్తవానికి, పరికర పూర్తి ప్రాప్యతకు అందించబడింది.
"హ్యాకర్లు సులభంగా పరికర ఖాతాలను యాక్సెస్ చేయవచ్చు, బాధితుడు యొక్క టైడ్ బ్యాంక్ కార్డును ఉపయోగించి కిండ్ల్ స్టోర్లో కొనుగోళ్ళు చేస్తారు. స్టోర్లో ఒక ఇ-బుక్ విక్రయించడం మరియు మీ ఖాతాకు డబ్బు బదిలీ చేయడం సాధ్యమే, "బార్ యోగివ్ గుర్తించారు.
యూజర్ యొక్క ఇమెయిల్ చిరునామాను తెలుసుకోవటానికి మరియు హానికరమైన పుస్తకంలో లింక్ను అనుసరించడానికి బాధితుని ఒప్పించేందుకు అవసరమైన విజయవంతమైన దాడి కోసం సైబర్క్రైమ్.
ప్రమాదాల లభ్యత గురించి సమాచారాన్ని స్వీకరించిన వెంటనే అమెజాన్ వాటిని తొలగించాడు. నిపుణుడు 18 వేల డాలర్ల వేతనం చెల్లించారు.
తరువాతి వీడియోలో, కిండ్ల్ యొక్క పుస్తకాలపై ఎంత దాడి జరుగుతుందో మీరు చూడవచ్చు:
Cisoclub.ru పై మరింత ఆసక్తికరమైన విషయం. US కు సబ్స్క్రయిబ్: ఫేస్బుక్ | VK | ట్విట్టర్ | Instagram | టెలిగ్రామ్ | జెన్ | మెసెంజర్ | ICQ కొత్త | YouTube | పల్స్.