Egy preparált e-könyvre volt szüksége a támadónak ahhoz, hogy átvegye az irányítást az itthon is népszerű Kindle e-book olvasó felett.
Még áprilisban javította az Amazon azt a kritikus sérülékenységet, melyek kihasználásával egy támadó teljesen átvehette az ellenőrzést a felhasználó Kindle olvasója felett. Ehhez a támadónak egy megfelelően preparált e-könyvet kellett küldenie a felhasználó eszközére.
Amikor a felhasználó kinyitotta ezt a könyvet, a támadó hozzáférhetett a felhasználó Amazon fiókjában tárolt adataihoz (személyes adatok, bankkártya információk), de törölhette volna az összes tartalmat is. Arra is lehetősége lett volna a támadónak, hogy egy bothadsereg katonájává alakítsa át az eszközt, és így további eszközöket támadjon meg segítségével.
A Kindle jellegzetességeit figyelembe véve a támadónak lehetősége adódhatott volna egy adott célcsoportot támadni: például egy adott nyelvet ismerők közösségét vagy egy adott hobbi körül szerveződő csoportot. A hibát még idén februárban fedezték fel és az 5.13.5-ös változatú firmware-rel javították.
Nem ez az első sérülékenység, amit az Amazon kénytelen orvosolni. Idén januárban az e-könyv óriás hasonló sérülékenységeket javított – ezeket KindleDrip hibának nevezték el. Ezeknek a sérülékenységeknek a kihasználásával is a támadó átvehette az ellenőrzést a készülék felett.
Az e-könyv olvasó esete azt bizonyítja, hogy minden internethez csatlakozó eszköz esetében figyelni kell a kiberbiztonságra is, hiszen a számítógépekhez hasonlóan ezek az eszközök is komoly biztonsági kockázatot jelentenek.
Forrás: The Hacker News cikke