La querelle entre amoureux des livres sur papier et les appareils électroniques ne cesse de croître. Si vous êtes parmi ceux qui préfèrent profiter de leur lecture sur un appareil mobile, vous devriez être un peu plus prudent.
Ebooks Kindle injectées par un code malveillant permettre à des pirates d'accéder aux comptes Amazon
Apparemment, il ya un nouveau bug attaché à des e-books qui est en mesure de compromettre les comptes Amazon de l'utilisateur. Un chercheur de logiciels malveillants a trouvé une faille de sécurité sur la page web d'Amazon, dans la page "Votre compte" qui fournit les pirates avec les informations d'identification de l'utilisateur. Cela se produit lorsque l'utilisateur télécharge un livre électronique malveillant à son compte et se déplace à travers le système d'Amazon afin de le stocker sur son dispositif.
Avec L'Envoyer à Kindle, utilisateurs plugins peuvent envoyer des documents personnels ou des livres électroniques d'Amazon pour Kindle. Les e-books finissent généralement archivé dans la bibliothèque Kindle et les utilisateurs peuvent les télécharger sur leurs appareils (Allumer, les appareils mobiles à l'aide de l'application Kindle, etc) à tout moment,.
Au cas où, l'un de ces e-books sur le périphérique de l'utilisateur est piraté, et le script est incluse dans le titre, Le compte de l'utilisateur dans l'Amazone et toutes les données contenues sera en difficulté. Une fois que le e-book compromis qui a été ajouté à la bibliothèque est ouverte, le code malveillant est exécuté. Les pirates alors obtenir un accès complet aux biscuits liés Amazon et peuvent prendre le contrôle du compte.
Le retour du Bug
Le bug a été découvert il ya près d'un an par le chercheur Benjamin Mussler. Le problème a été résolu alors, mais apparemment le bug a fait un retour dans la nouvelle version de "Votre compte" la page.
La preuve initiale de concept de cette vulnérabilité était un e-book MOBI qui contenait un code malveillant qui a recueilli les cookies et les a envoyés au chercheur. Même si le chercheur a alerté Amazon sur la question, leur équipe sécurité de l'information tenu en utilisant la même PoC pour quelques mois après la vulnérabilité a été géré. Encore plus étonnant est le fait que la même vulnérabilité a été inclus dans la nouvelle version de la "Gérer votre Kindle" app.
Le chercheur informe que la question ne touche pas seulement Amazon. Calibre aurait eu le même bug il ya un an, mais il semble être fixé dès maintenant.