Check Point Software обнаружила уязвимости в Amazon Kindle
Check Point Software обнаружила уязвимости в Amazon Kindle
Check Point Software Technologies обнаружила уязвимости в Amazon Kindle, самой популярной в мире «читалке» для электронных книг. Воспользовавшись этими уязвимостями, хакеры могли бы получить полный контроль над устройством Kindle пользователя, похитить токен устройства Amazon и другие сохраненные на нем конфиденциальные данные. Для успешной атаки на Kindle достаточно всего одной книги с вредоносным кодом.
Потенциальная атака начинается с отправки вредоносной электронной книги на почту пользователя. После получения такого вложения жертве достаточно открыть его – и это запустит цепочку действий по эксплуатации устройства. Каких-либо дополнительных разрешений и действий со стороны пользователя не требуется. Специалисты CPR доказали, что электронные книги могут использоваться в качестве вредоносного ПО для Kindle с различными последствиями. Например, хакер может удалить все электронные книги пользователя ¬– или превратить Kindle во вредоносного бота и использовать его для атак на другие устройства в локальной сети пользователя.
Обнаруженные уязвимости позволяли злоумышленникам атаковать конкретную категорию пользователей, что вызвало особое беспокойство экспертов CPR. Например, чтобы выбрать определенную группу людей или демографическую группу, киберпреступнику достаточно было использовать популярную электронную книгу на соответствующем языке или диалекте. В результате кибератака становилась чрезвычайно узконаправленной.
CPR сообщила о своих выводах Amazon в феврале 2021 г. Апрельское обновление прошивки Kindle до версии 5.13.5 содержало патч для обнаруженных уязвимостей. С ним прошивка автоматически устанавливается на подключенные к сети устройства.
«Мы обнаружили в Kindle уязвимости, и если бы хакеры ими воспользовались, они бы могли получить полный контроль над устройством, – сказал руководитель исследований в сфере кибербезопасности компании Check Point Software Technologies. – Отправив пользователю Kindle электронную книгу с вредоносным кодом, киберпреступник получил бы возможность похитить с ридера любую информацию — от реквизитов учетной записи Amazon до платежных данных. Как и другие умные устройства, Kindle часто воспринимается как безобидный гаджет, не подверженный рискам безопасности. Однако наши исследования показывают, что любое устройство с возможностью подключения к сети, по сути, мало отличается от компьютера. IoT-устройства подвержены тем же видам атак, что и смартфоны. Любые подключенные к ПК устройства, особенно такие распространенные как Kindle, представляют риск с точки зрения кибербезопасности, и пользователи должны это осознавать. В данном случае нас больше всего обеспокоила степень точности, с которой хакеры могли выбирать своих жертв в случае успешной атаки. Характер уязвимости позволял им определить в качестве мишени конкретную категорию пользователей. Например, чтобы атаковать граждан Румынии, кибепреступнику достаточно было опубликовать бесплатную популярную электронную книгу на румынском языке. После этого киберпреступники могли быть уверены, что всеми их жертвами будут именно румыноязычные пользователи. Такая степень конкретизации атаки пользуется большим спросом в сфере киберпреступности и кибершпионажа. В руках опытных злоумышленников подобные возможности могут повлечь за собой серьезный ущерб. Мы продемонстрировали возможность обнаруживать уязвимости в системах безопасности такого рода, чтобы они были устранены до того, как опытные киберпреступники смогут ими воспользоваться. Компания Amazon сотрудничала с нами на протяжении всего процесса скоординированного раскрытия информации, и мы рады, что они выпустили патч для устранения обнаруженных проблем».
