La pelea entre amantes de la lectura sobre papel y dispositivos electrónicos está en constante crecimiento. Si usted está entre los que prefieren disfrutar de su lectura en un dispositivo móvil, usted debe ser un poco más cuidadoso.
Ebooks Kindle inyectados con código malicioso permitir a los hackers acceder a las cuentas de Amazon
Al parecer hay un nuevo bug unido a los libros electrónicos que es capaz de poner en peligro las cuentas de Amazon del usuario. Un investigador de malware ha encontrado un agujero de seguridad en la página web de Amazon, en la página "Administrar tu Kindle" que abastece a los hackers con las credenciales del usuario. Esto ocurre cuando el usuario carga un libro electrónico malicioso a su cuenta y se mueve a través del sistema de Amazon con el fin de almacenarlo en su dispositivo.
Con El Enviar a Kindle, usuarios de plugins pueden enviar documentos personales o libros electrónicos de Amazon para Kindle. Los e-libros por lo general terminan archivados en la Biblioteca Kindle y los usuarios pueden descargar en sus dispositivos (Kindle, dispositivos móviles que utilizan la aplicación Kindle, etc) en cualquier momento.
En caso, uno de estos libros electrónicos en el dispositivo del usuario es hackeado, y la secuencia de comandos se incluye en el título, la cuenta del usuario en Amazon y todos los datos que contiene se verá en problemas. Una vez abierto el e-libro comprometido que se ha añadido a la biblioteca, se ejecuta el código malicioso. Los hackers obtengan acceso completo a las cookies relacionadas Amazon y pueden asumir el control de la cuenta.
El Regreso del Bug
El error fue descubierto por primera vez hace casi un año por el investigador Benjamin Mussler. El problema se resolvió luego, pero al parecer el error ha hecho una reaparición en la nueva versión de "Administre su Kindle" página.
La prueba inicial de concepto acerca de esta vulnerabilidad era un libro electrónico MOBI que contenía un código malicioso que recoge las cookies y los ha enviado al investigador. A pesar de que el investigador alertó a Amazon sobre el tema, su equipo de seguridad de la información llevada por medio de la misma PoC durante unos meses después de que se logró la vulnerabilidad. Aún más asombroso es el hecho de que la misma vulnerabilidad se incluyó en la nueva versión de la aplicación "Administrar tu Kindle".
El investigador informa que el problema no afectó sólo Amazon. Según se informa Calibre tenía el mismo error de hace un año, pero parece que se fija en este momento.