Firma Amazon zajęła się krytyczną luką w swojej platformie czytnika e-booków Kindle, która mogła zostać potencjalnie wykorzystana do przejęcia pełnej kontroli nad urządzeniem użytkownika, prowadząc do kradzieży poufnych informacji, za pomocą wgrania złośliwego e-booka.

Jak podaje Check Point, wysyłając użytkownikom Kindle złośliwego e-booka, osoba atakująca może wykraść wszelkie informacje przechowywane na urządzeniu, takie jak dane uwierzytelniające konta Amazon do informacji rozliczeniowych.

Luki w zabezpieczeniach pozwalają również atakującemu dotrzeć do bardzo określonej grupy odbiorców. Tak więc, jeśli atakujący chce wybrać konkretną grupę osób lub grupę demograficzną, może wybrać popularnego e-booka w języku, którym posługuje się w dużej mierze grupa, aby zaplanować wysoce ukierunkowany atak cybernetyczny.

Problem został ujawniony Amazonowi w lutym 2021 roku, a gigant handlu detalicznego i rozrywki opublikował łatę w ramach wersji 5.13.5 oprogramowania Kindle w kwietniu 2021 roku.

Zagrożenia, które wykorzystują lukę, mogą wysłać złośliwego e-booka do zamierzonej ofiary, która otwierając książkę, uruchamia sekwencję infekcji bez jakiejkolwiek interakcji, umożliwiając atakującemu usunięcie biblioteki użytkownika, uzyskanie pełnego dostępu do konta Amazon , lub konwrsji Kindle na bota do atakowania innych urządzeń w sieci lokalnej.

Problem tkwi w strukturze analizowania oprogramowania sprzętowego e-booków, w szczególności w implementacji związanej ze sposobem otwierania dokumentów PDF, umożliwiając atakującemu wykonanie złośliwego payload’a na urządzeniu.

Dzieje się tak z powodu luki przepełnienia sterty w funkcji renderowania PDF (CVE-2021-30354), która może być wykorzystana do uzyskania dowolnego prymitywu zapisu, oraz luki w lokalnej eskalacji uprawnień w usłudze menedżera aplikacji Kindle (CVE-2021-30355 ), która umożliwia podmiotowi zajmującemu się zagrożeniem połączenie dwóch luk w celu uruchomienia kodu zawierającego złośliwe oprogramowanie jako użytkownik root.

Użadzenia Kindle są często uważani za nieszkodliwe i niskiego ryzyka przez co są lekceważone jako zagrożenia dal cyberbezpieczeństwa. Ale jak widać urządzenia te, są podatne na te same ataki, co komputery. Użytkownicy muszą być świadomi zagrożeń cybernetycznych związanych z używaniem czegokolwiek podłączonego do komputera i/lud do sieci, zwłaszcza czegoś tak popularnego jak Kindle firmy Amazon.

SECURITY ALLIANCE – 3 W 1

Cyberbezpieczeństwo + Compliance + Ubezpieczenie
Wszystko w jednej usłudze w modelu as a service.

Zabezpieczymy Twoją Firmę - 
A Ty skoncentruj się na swoim Biznesie.

MANAGED SECURITY SERVICE PROVIDER
MSSP - OUTSOURCING USŁUG CYBERBEZPIECZEŃSTWA

Monitorujemy Twoje bezpieczeństwo na bieżąco

COMPLIANCE
OUTSOURCING USŁUG COMPLIANCE

Zarządzaj efektywnie ryzykiem.

Zapewnimy zgodność z normami RODO/ISO/KRI/KSC oraz na bieżąco Będziemy Cię dostosowywać do zachodzących zmian.

UBEZPIECZENIE
ZAPEWNIENIE OCHRONY UBEZPIECZENIOWEJ OD RYZYK ZWIĄZANYCH Z WYCIEKAMI DANYCH I ATAKAMI CYBERNETYCZNYMI

Polisa zapewni bezpieczeństwo w nadzwyczajnych sytuacjach 

previous arrow
next arrow
Slider