อเมซอนตัดสินใจที่จะจ่าย $ 18,000 สำหรับการตรวจจับช่องโหว่และโซ่ของการใช้ประโยชน์ซึ่งอนุญาตให้ผู้โจมตีสามารถควบคุมหนังสืออิเล็กทรอนิกส์ Kindle ได้อย่างเต็มที่เพียงแค่รู้ที่อยู่อีเมลของผู้ใช้
ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล Yogev Bar-He จาก บริษัท Israeli RealMode Labs พบช่องโหว่ในเดือนตุลาคม 2020
ช่องโหว่แรกในห่วงโซ่ exploit นั้นเกี่ยวข้องกับฟังก์ชั่น "ส่งไปยัง Kindle" ช่วยให้ผู้ใช้ส่งหนังสืออิเล็กทรอนิกส์ในรูปแบบ Mobi ไปยังอุปกรณ์ Kindle ทางอีเมลเป็นไฟล์แนบ Amazon ให้ที่อยู่ ****@kindle.com ตามที่คุณสามารถส่งหนังสืออิเล็กทรอนิกส์จากที่อยู่อีเมลใด ๆ ซึ่งก่อนหน้านี้ได้รับการอนุมัติจากเจ้าของอุปกรณ์
Yogev Bar- เขาพบว่าเป็นไปได้ที่จะละเมิดฟังก์ชั่นนี้ - คุณสามารถส่ง e-book ที่สร้างขึ้นเป็นพิเศษทางอีเมลซึ่งจะมีรหัสโดยพลการบนอุปกรณ์เป้าหมาย
ด้วยความช่วยเหลือของหนังสืออิเล็กทรอนิกส์ที่เป็นอันตรายเป็นไปได้ที่จะดำเนินการรหัสโดยพลการเนื่องจากการดำเนินการของช่องโหว่ที่เกี่ยวข้องกับห้องสมุดที่อุปกรณ์ Kindle ใช้เพื่อวิเคราะห์ภาพ JPEG XR เพื่อการเอารัดเอาเปรียบที่ประสบความสำเร็จของช่องโหว่จึงจำเป็นที่ผู้ใช้คลิกที่ลิงค์ภายในหนังสือซึ่งมีสิ่งที่แนบมา JPEG XR ที่เป็นอันตราย หลังจากเปิดลิงก์เบราว์เซอร์และไซเบอร์แคลิฟอร์เนียโค้ดเปิดตัว
นอกจากนี้ Yogeev Bar- เขาพบช่องโหว่ที่อนุญาตให้ยกระดับสิทธิ์และดำเนินการรหัสในนามของผู้ใช้รูทซึ่งในความเป็นจริงที่มีให้กับอุปกรณ์เข้าถึงได้อย่างสมบูรณ์
"แฮกเกอร์สามารถเข้าถึงบัญชีของอุปกรณ์ได้อย่างง่ายดายทำการซื้อสินค้าใน Kindle Store โดยใช้บัตรธนาคารผูกเหยื่อ เป็นไปได้ที่จะขาย e-book ในร้านค้าและโอนเงินไปยังบัญชีของคุณ "บาร์โยคีบาร์ที่ระบุไว้
อาชญากรรมไซเบอร์สำหรับการโจมตีที่ประสบความสำเร็จจำเป็นต้องรู้ที่อยู่อีเมลของผู้ใช้และโน้มน้าวใจผู้ที่ตกเป็นเหยื่อเพื่อติดตามลิงค์ภายในหนังสือที่เป็นอันตราย
อเมซอนทันทีหลังจากได้รับข้อมูลเกี่ยวกับความพร้อมของช่องโหว่กำจัดพวกเขา ผู้เชี่ยวชาญจ่ายค่าตอบแทน 18,000 ดอลลาร์
ในวิดีโอถัดไปคุณสามารถดูว่าการโจมตีที่จัดขึ้นบนหนังสือของ Kindle:
วัสดุที่น่าสนใจมากขึ้นบน cisoclub.ru สมัครสมาชิกกับเรา: Facebook | vk | ทวิตเตอร์ | Instagram โทรเลข เซน | Messenger | ICQ ใหม่ | YouTube | ชีพจร.