Súlyos biztonsági rés volt az Amazon Kindle könyvolvasó applikációjában, amivel pénzt is lophattak volna. A hibát azóta kijavították.
Az Amazon Kindle rejtett hibáit, sebezhetőségét használhatták volna ki hackerek arra, hogy rosszindulatú, vírusos e-könyveket töltsenek fel az áldozatok készülékeire, és így az azokon lévő a Kindle-fiókokat feltörjék, továbbá a hitelkártyákat is pénzköltésre használhassák.
Yogev Bar-On, a Realmode Labs biztonsági cég kutatója tavaly a Kindle biztonságát vizsgálta, különös tekintettel az Amazon „Send to Kindle” szolgáltatására. Ez a funkció lehetővé teszi a felhasználók számára, hogy e-könyveket vagy cikkeket küldjenek Kindle-jükre, hogy a „később olvasom” funkciót kihasználják. Bar-On megállapította, hogy három különböző biztonsági rés is létezik, amelyeket kihasználva
egy hacker átveheti az áldozat Kindle-jének irányítását, és pénzt költhet a hitelkártyájával a Kindle Store-ban,
valamint hozzáférhet az eszközön tárolt személyes adatokhoz, mint például a teljes név és cím.
A legrosszabb eset akár az is lehetne, hogy a támadók pénzt lopnak el az áldozattól, továbbá egyéb magánjellegű információkat is (például név és cím).
– állította Bar-On korábbi e-mailjében.
Mint a Bar-On blogbejegyzésében kifejtette, a támadás egy rosszindulatú e-könyvvel kezdődhetett volna, amelyet az áldozatnak küldtek. Enyhítő tényező, hogy a hackernek meg kellett hamisítania az e-mail-címet, amelyet használtak, hogy megfeleljen a célszemély által használt @kindle.com e-mail-címnek. Bizonyos esetekben ezeket nem olyan könnyű kitalálni, mivel véletlenszerű számok sorozatát tartalmazhatják. Bar-On ugyanakkor hozzátette, hogy „brute force” technikát használva a hackerek fel tudták volna törni a számkombinációt.
A hacker elküldi az e-könyvet egy áldozatnak, amely automatikusan megjelenik a Kindle könyvtárban. Miután az áldozat kinyitotta az e-könyvet, és rákattintott a tartalomjegyzékben található linkre, a Kindle megnyit egy böngésző HTML-oldalt a böngészőben, amely rosszindulatú képfájlt tartalmazott. Ezután a Kindle elemzi a rosszindulatú kódot, és hagyja, hogy a hacker átvegye az eszközt.
Az Amazon szóvivője megerősítette, hogy a Bar-On által talált hibákat kijavították, és szerinte a hibák révén még nem tudták volna a hackerek átvenni az áldozat Amazon-fiókját.
Eszközeink és szolgáltatásaink biztonsága kiemelt fontosságú. Az interneten keresztül már kiadtunk egy automatikus szoftverfrissítést, amely megoldotta ezt a problémát a 2014 után kiadott összes Amazon Kindle modellnél. Más, a Kindle által érintett készülékek is megkapják ezt a javítást. Vannak olyan intézkedéseink is, amelyek megakadályozzák az ügyfeleket abban, hogy ne kapjanak olyan tartalmat, amelyet nem kértek. Nagyra értékeljük független kutatók munkáját, akik segítenek felhívni a figyelmünket a lehetséges problémákra.
– állította a szóvivő egy e-mailben.
Bar-On szerint egyébként „nincs ok arra gyanakodni, hogy ezt a biztonsági rést valóban ki is használták, és az eszközöket már frissíteni kell a fix firmware verzióra”.
Mindenesetre ez az ügy jó emlékeztető arra nézve, hogy még a biztonságosnak ítélt eszközöknél is előfordulhat, hogy személyes adatainkat kiszivárogtatják. Az Amazon egyébként tavaly december 10-én javította ezeket a hibákat, miután Bar-On október 17-én jelentette azokat.