Amazon all’inizio di Aprile ha affrontato una vulnerabilità critica nella sua piattaforma di lettura di e-book Kindle che poteva essere potenzialmente sfruttata per assumere il pieno controllo del dispositivo di un utente, provocando il furto di informazioni sensibili, semplicemente distribuendo un e-book dannoso.
“Inviando agli utenti di Kindle un singolo e-book dannoso, un malintenzionato avrebbe potuto rubare qualsiasi informazione memorizzata sul dispositivo, dalle credenziali dell’account Amazon alle informazioni di fatturazione”, ha affermato Yaniv Balmas, capo della ricerca informatica di Check Point. “Le vulnerabilità di sicurezza consentono a un utente malintenzionato di prendere di mira un pubblico molto specifico”.
Dopo aver divulgato responsabilmente il problema ad Amazon nel febbraio 2021, il gigante della vendita al dettaglio e dell’intrattenimento ha pubblicato nell’Aprile 2021 una correzione come parte della sua versione 5.13.5 del firmware Kindle.
Gli attacchi che sfruttano questa falla iniziano inviando un e-book dannoso a una vittima designata, che, aprendo il libro, attiva la sequenza di infezione senza alcuna interazione, consentendo al malintenzionato di eliminare la libreria dell’utente, ottenere l’accesso completo all’account Amazon, o convertire il Kindle in un bot per colpire altri dispositivi nella rete locale del bersaglio.
Il problema risiedeva nel framework di analisi dei firmware, in particolare nell’implementazione associata alla modalità di apertura dei documenti PDF, che consentiva a un utente malintenzionato di eseguire un payload dannoso sul dispositivo.
All’inizio di gennaio, Amazon ha corretto punti deboli simili, denominati collettivamente ” KindleDrip “.
“Kindle, come altri dispositivi IoT, sono spesso considerati innocui e ignorati come rischi per la sicurezza”, ha affermato Balmas. “Questi dispositivi IoT sono vulnerabili agli stessi attacchi dei computer. Tutti dovrebbero essere consapevoli dei rischi informatici nell’utilizzo di qualsiasi cosa connessa al computer e alla rete, in particolare qualcosa di onnipresente come i Kindle di Amazon”.