Sikkerhetsfeil funnet i Amazon Kindle
Ved å lure ofre til å åpne en ondsinnet e-bok, kan trusselsaktører ha tatt full kontroll over en Kindle-enhet, og åpnet den for å stjele informasjon som er lagret.
Check Point Research (CPR) fant sikkerhetsfeil i Amazon Kindle. Hvis utnyttet, ville feilene ha gjort det mulig for en trusselsaktør å ta full kontroll over en brukers Kindle, noe som kan resultere i mulig tyveri av sensitiv informasjon som er lagret på enheten. Utnyttelsen utløses ved å distribuere en enkelt ondsinnet e-bok på en Kindle-enhet.
E-bok som skadelig programvare
Utnyttelsen innebærer å sende en ondsinnet e-bok til et offer. Når e-boken er levert, trenger offeret bare å åpne den for å starte opp angrepet. Ingen andre indikasjoner eller interaksjoner kreves fra offerets vegne for å utføre utnyttelsen. For eksempel kan en angriper slette brukerens e-bøker, eller konvertere enheten til en ondsinnet bot, slik at hackerne kan angripe andre enheter i brukerens lokale nettverk.
Ifølge CPR gjør sikkerhetsfeilene det mulig for en trusselaktør å målrette mot et veldig spesifikt publikum, noe sikkerhetsselskapet ser på som svært bekymringsfullt.
For eksempel, hvis en trusselsaktør ønsket å målrette mot en bestemt gruppe mennesker basert på demografi, kan trusselsaktøren enkelt velge en populær e-bok på det korrelerende språket eller dialekten for å orkestrere et svært målrettet cyberangrep.
Koordinert avsløring
CPR avslørte sine funn til Amazon i februar 2021, men Amazon implementerte en løsning i 5.13.5 -versjonen av Kindles oppdatering først i april 2021. Den oppdaterte programvaren skal installeres automatisk på enheter som er koblet til Internett, dette bør dobbeltsjekkes.
– Vår forskning viser at enhver elektronisk enhet er en form for datamaskin. Og som sådan er disse IoT-enhetene sårbare for de samme angrepene som datamaskiner. Alle bør være klar over cyberrisikoen ved å bruke alt som er koblet til datamaskinen, spesielt noe så allestedsnærværende som Amazons Kindle, sier Yaniv Balmas, leder for cyberforskning i Check Point Software.