Amazon zaifliklar va ekspluatatsiya zanjirlarini aniqlash uchun 18 ming dollar to'lashga qaror qildi, bu hujumga qarshi elektron kitoblar ustidan to'liq nazoratni amalga oshirishga imkon beradi.
Axborot xavfsizligi bo'yicha ekspert Yogev Bar-u 2020 yil oktyabr oyida Isroil laboratoriyasidan foydalanib, zaifliklarni topdi.
Ekspluatatsiya zanjiridagi birinchi zaiflik "Kindle-ga yuborish" funktsiyasi bilan bog'liq bo'lib, foydalanuvchi elektron kitobni Kindle qurilmasiga elektron kitobni ilova sifatida ilova sifatida elektron kitob yuborishga imkon beradi. Amazon Manzilni taqdim etadi ****@allen.com manzilini taqdim etadi, shundan ilgari qurilma egasi tomonidan tasdiqlangan har qanday elektron pochta manzilidan elektron kitoblarni yuborishingiz mumkin.
Yogev Bar-u ushbu funktsiyani suiiste'mol qilish mumkinligini aniqladi - siz maxsus yaratilgan elektron kitobni elektron pochta orqali yuborishingiz mumkin, ularda maqsadli qurilmada o'zboshimchalik bilan o'zboshimchalik bilan kodi bo'ladi.
Yomon elektron kitob yordamida kutubxonalar bilan bog'liq zaiflik bilan, Kindle qurilmasi JPEG XR tasvirlarini tahlil qilish uchun foydalanayotgani sababli o'zboshimchalik bilan kodiga ega bo'lish mumkin. Zaifliklarni muvaffaqiyatli ishlatish uchun foydalanuvchining zararli JPEG XR biriktirmasi mavjud bo'lgan kitob ichidagi havolani bosish kerak edi. Linkni ochgandan so'ng, brauzer va kliercriminator kodi ishga tushirildi.
Shuningdek, Yogeev Bar-u imtiyozlarni oshirishga imkon berdi, bu imtiyozlarni ko'tarib, ildiz foydalanuvchisi nomidan kodni to'liq kirish huquqiga ega bo'lgan holda bajarishga imkon berdi.
"Xakerlar qurilmaning bog'langan bank kartasidan foydalanib, Kindle do'konida xaridlarni osongina kirishlari mumkin. Do'konda elektron kitobni sotish va hisobingizga pul o'tkazish mumkin edi ", dedi Yogeev.
Muvaffaqiyatli hujum uchun Kibercument foydalanuvchining elektron pochta manzilini bilish va jabrlanuvchini zararli kitob doirasidagi havolani kuzatib borishiga ishontirish.
Amazon zaifliklarning mavjudligi to'g'risida ma'lumot olgandan so'ng darhol ularni yo'q qildi. Ekspert 18 ming dollar miqdorida haq to'landi.
Keyingi videoda siz hujumning aniq qanday aniq qaragan kitoblarida qanday o'tkazilishini ko'rishingiz mumkin:
Cisoklub.Ru saytida yanada qiziqarli material. Bizga obuna bo'ling: Facebook | Vk | Twitter | Instagram | Telegramma Zin | Elchi | ICQ yangi | YouTube | Puls.