Firma Amazon zajęła się krytyczną luką w swojej platformie czytnika e-booków Kindle, która mogła zostać potencjalnie wykorzystana do przejęcia pełnej kontroli nad urządzeniem użytkownika, prowadząc do kradzieży poufnych informacji, za pomocą wgrania złośliwego e-booka.
Jak podaje Check Point, wysyłając użytkownikom Kindle złośliwego e-booka, osoba atakująca może wykraść wszelkie informacje przechowywane na urządzeniu, takie jak dane uwierzytelniające konta Amazon do informacji rozliczeniowych.
Luki w zabezpieczeniach pozwalają również atakującemu dotrzeć do bardzo określonej grupy odbiorców. Tak więc, jeśli atakujący chce wybrać konkretną grupę osób lub grupę demograficzną, może wybrać popularnego e-booka w języku, którym posługuje się w dużej mierze grupa, aby zaplanować wysoce ukierunkowany atak cybernetyczny.
Problem został ujawniony Amazonowi w lutym 2021 roku, a gigant handlu detalicznego i rozrywki opublikował łatę w ramach wersji 5.13.5 oprogramowania Kindle w kwietniu 2021 roku.
Zagrożenia, które wykorzystują lukę, mogą wysłać złośliwego e-booka do zamierzonej ofiary, która otwierając książkę, uruchamia sekwencję infekcji bez jakiejkolwiek interakcji, umożliwiając atakującemu usunięcie biblioteki użytkownika, uzyskanie pełnego dostępu do konta Amazon , lub konwrsji Kindle na bota do atakowania innych urządzeń w sieci lokalnej.
Problem tkwi w strukturze analizowania oprogramowania sprzętowego e-booków, w szczególności w implementacji związanej ze sposobem otwierania dokumentów PDF, umożliwiając atakującemu wykonanie złośliwego payload’a na urządzeniu.
Dzieje się tak z powodu luki przepełnienia sterty w funkcji renderowania PDF (CVE-2021-30354), która może być wykorzystana do uzyskania dowolnego prymitywu zapisu, oraz luki w lokalnej eskalacji uprawnień w usłudze menedżera aplikacji Kindle (CVE-2021-30355 ), która umożliwia podmiotowi zajmującemu się zagrożeniem połączenie dwóch luk w celu uruchomienia kodu zawierającego złośliwe oprogramowanie jako użytkownik root.
Użadzenia Kindle są często uważani za nieszkodliwe i niskiego ryzyka przez co są lekceważone jako zagrożenia dal cyberbezpieczeństwa. Ale jak widać urządzenia te, są podatne na te same ataki, co komputery. Użytkownicy muszą być świadomi zagrożeń cybernetycznych związanych z używaniem czegokolwiek podłączonego do komputera i/lud do sieci, zwłaszcza czegoś tak popularnego jak Kindle firmy Amazon.
