Исследователи безопасности из Check Point Research (CPR) обнаружили недостатки безопасности в Amazon Kindle, которые могут позволить злоумышленнику получить информацию, хранящуюся на пользовательских устройствах, в случае использования.
Чтобы воспользоваться этими недостатками в самой популярной в мире программе для чтения электронных книг, злоумышленнику необходимо отправить жертве вредоносную электронную книгу. После того, как эта электронная книга была доставлена на устройство пользователя, потенциальной жертве просто нужно открыть ее, чтобы запустить цепочку эксплойтов, поскольку никакого другого взаимодействия с пользователем не требуется.
В ходе тестирования CPR продемонстрировал, что электронная книга может быть использована в качестве вредоносного ПО на Amazon Kindle, что позволит злоумышленнику удалить библиотеку электронных книг пользователя или преобразовать свое устройство во вредоносного бота, позволяющего атаковать другие устройства пользователя. локальная сеть.
Кроме того, злоумышленник потенциально может украсть токен устройства Amazon Kindle или другую конфиденциальную информацию, хранящуюся на электронной читалке пользователя.
Поскольку уязвимости безопасности, обнаруженные CPR, используют вредоносные электронные книги в качестве вектора атаки, злоумышленник может нацеливаться на очень конкретную аудиторию при запуске своих атак.
К счастью, CPR представила свои результаты Amazon еще в феврале, и гигант электронной коммерции развернул исправление в апреле, выпустив версию 5.13.5 прошивки Kindle, которая автоматически устанавливается на все устройства, подключенные к Интернету.
Источник: