+7 (812) 677-17-05

Вредные книжки

#

В апреле Amazon пропатчила баг, который позволял превращать электронки Kindle в ботов и воровать с них персональные данные. Заразить устройство можно было вредоносной книгой. Поскольку антивирей для электронок нет, распознать зловредность такой книжки было бы нечем, а вот к публикации её бы приняли в любой онлайн-библиотеке, включая собственную амазоновскую.

Обнаружившие уязвимость исследователи смогли собрать книжку, которая, если её открыть на Киндл, могла бы до патча исполнить любой код с рут-правами. Книжка подключалась к удалённому серверу, блокировала экран, получала рут-права и передавала хакеру полный доступ к устройству. Сюда входит и доступ к Амазон-аккаунту, в который залогинена книжка, кукам и приватным ключам.

Исследователи заметили занятную фичу у такого вредоноса — лёгкость в прицеливании на определённую аудиторию. Нужны румыны? Публикуем "перевод" популярной книжки на румынский, и вуаля.

Вообще говоря, они тут не первые: в конце января этого года Амазон пропатчил KindleDrip, похожую RCE-уязвимость с вредоносной книжкой. Там исследователь обнаружил, что можно присылать вредоносные книжки пользователям на почты, пользуясь фичей Send to Kindle. Почты пользователей внутри системы довольно просто забрутфорсить, а остальное — дело техники.

11.08.2021 Новости
Читайте все свежие новости первыми. Подписывайтесь на нас в Telegram
Том Хантер Том Хантер Pentest Guru

Мистер Том Хантер, вдохновитель нашей компании по обеспечению кибербезопасности

Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

    Принимаю соглашение об использовании персональных данных