A disputa entre os amantes de livros sobre papel e dispositivos eletrônicos está em constante crescimento. Se você está entre aqueles que preferem desfrutar de sua leitura em um dispositivo móvel, você deve ser um pouco mais cuidadoso.
Kindle ebooks injetados com código malicioso permitem que hackers acessem contas da Amazon
Aparentemente, há um novo bug anexado aos e-books que é capaz de comprometer as contas do usuário na Amazon. Um pesquisador de malware encontrou uma falha de segurança na página da Amazon, na página "Gerenciar seu Kindle", que fornece aos hackers as credenciais do usuário. Isso ocorre quando o usuário carrega um e-book malicioso em sua conta e o move através do sistema da Amazon para armazená-lo em seu dispositivo.
Com o Send to Kindle, os usuários do plugin podem enviar documentos pessoais ou e-books da Amazon para o Kindle. Os e-books geralmente acabam arquivados na Biblioteca Kindle e os usuários podem baixá-los para seus dispositivos (Acender, dispositivos móveis usando o aplicativo Kindle, etc.) a qualquer momento.
Em caso, um desses e-books no dispositivo do usuário foi hackeado, e o script é incluído no título, a conta do usuário na Amazon e todos os dados contidos estarão com problemas. Assim que o e-book comprometido adicionado à biblioteca for aberto, o código malicioso é executado. Os hackers obtêm acesso total aos cookies relacionados à Amazon e podem assumir o controle da conta.
O retorno do bug
O bug foi descoberto há quase um ano pelo pesquisador Benjamin Mussler. O problema foi resolvido então, mas, aparentemente, o bug voltou à versão mais recente da página “Manage Your Kindle”.
A prova de conceito inicial sobre esta vulnerabilidade foi um e-book MOBI que continha um código malicioso que coletou cookies e os enviou ao pesquisador. Mesmo que o pesquisador tenha alertado a Amazon sobre o assunto, sua equipe de segurança da informação continuou usando o mesmo PoC por alguns meses depois que a vulnerabilidade foi gerenciada. Ainda mais surpreendente é o fato de que a mesma vulnerabilidade foi incluída na nova versão do aplicativo “Manage your Kindle”.
O pesquisador informa que o problema não afetou apenas a Amazônia.. Alegadamente, o Calibre teve o mesmo bug há um ano, mas parece estar consertado agora.
