Sikkerhetsfeil funnet i Amazon Kindle

Check Point Research (CPR) fant sikkerhetsfeil i Amazon Kindle. Hvis utnyttet, ville feilene ha gjort det mulig for en trusselsaktør å ta full kontroll over en brukers Kindle, noe som kan resultere i mulig tyveri  av sensitiv informasjon som er lagret på enheten. Utnyttelsen utløses ved å distribuere en enkelt ondsinnet e-bok på en Kindle-enhet. 

E-bok som skadelig programvare

Utnyttelsen innebærer å sende en ondsinnet e-bok til et offer. Når e-boken er levert, trenger offeret bare å åpne den for å starte opp angrepet. Ingen andre indikasjoner eller interaksjoner kreves fra offerets vegne for å utføre utnyttelsen. For eksempel kan en angriper slette brukerens e-bøker, eller konvertere enheten til en ondsinnet bot, slik at hackerne kan angripe andre enheter i brukerens lokale nettverk.

Ifølge CPR gjør sikkerhetsfeilene det mulig for en trusselaktør å målrette mot et veldig spesifikt publikum, noe sikkerhetsselskapet ser på som svært bekymringsfullt.

For eksempel, hvis en trusselsaktør ønsket å målrette mot en bestemt gruppe mennesker basert på demografi, kan trusselsaktøren enkelt velge en populær e-bok på det korrelerende språket eller dialekten for å orkestrere et svært målrettet cyberangrep.

Koordinert avsløring

CPR avslørte sine funn til Amazon i februar 2021, men Amazon implementerte en løsning i 5.13.5 -versjonen av Kindles oppdatering først i april 2021. Den oppdaterte programvaren skal installeres automatisk på enheter som er koblet til Internett, dette bør dobbeltsjekkes. 

– Vår forskning viser at enhver elektronisk enhet er en form for datamaskin. Og som sådan er disse IoT-enhetene sårbare for de samme angrepene som datamaskiner. Alle bør være klar over cyberrisikoen ved å bruke alt som er koblet til datamaskinen, spesielt noe så allestedsnærværende som Amazons Kindle, sier Yaniv Balmas, leder for cyberforskning i Check Point Software.