Elemér
0 °C
10 °C

Vírusos e-könyvekkel lophattak hitelkártyaadatokat

2021.01.23. 10:37
Súlyos biztonsági rés volt az Amazon Kindle könyvolvasó applikációjában, amivel pénzt is lophattak volna. A hibát azóta kijavították.

Az Amazon Kindle rejtett hibáit, sebezhetőségét használhatták volna ki hackerek arra, hogy rosszindulatú, vírusos e-könyveket töltsenek fel az áldozatok készülékeire, és így az azokon lévő a Kindle-fiókokat feltörjék, továbbá a hitelkártyákat is pénzköltésre használhassák.

Yogev Bar-On, a Realmode Labs biztonsági cég kutatója tavaly a Kindle biztonságát vizsgálta, különös tekintettel az Amazon „Send to Kindle” szolgáltatására. Ez a funkció lehetővé teszi a felhasználók számára, hogy e-könyveket vagy cikkeket küldjenek Kindle-jükre, hogy a „később olvasom” funkciót kihasználják. Bar-On megállapította, hogy három különböző biztonsági rés is létezik, amelyeket kihasználva 

egy hacker átveheti az áldozat Kindle-jének irányítását, és pénzt költhet a hitelkártyájával a Kindle Store-ban,

valamint hozzáférhet az eszközön tárolt személyes adatokhoz, mint például a teljes név és cím.

A legrosszabb eset akár az is lehetne, hogy a támadók pénzt lopnak el az áldozattól, továbbá egyéb magánjellegű információkat is (például név és cím).

– állította Bar-On korábbi e-mailjében.

Mint a Bar-On blogbejegyzésében kifejtette, a támadás egy rosszindulatú e-könyvvel kezdődhetett volna, amelyet az áldozatnak küldtek. Enyhítő tényező, hogy a hackernek meg kellett hamisítania az e-mail-címet, amelyet használtak, hogy megfeleljen a célszemély által használt @kindle.com e-mail-címnek. Bizonyos esetekben ezeket nem olyan könnyű kitalálni, mivel véletlenszerű számok sorozatát tartalmazhatják. Bar-On ugyanakkor hozzátette, hogy „brute force” technikát használva a hackerek fel tudták volna törni a számkombinációt.

A hacker elküldi az e-könyvet egy áldozatnak, amely automatikusan megjelenik a Kindle könyvtárban. Miután az áldozat kinyitotta az e-könyvet, és rákattintott a tartalomjegyzékben található linkre, a Kindle megnyit egy böngésző HTML-oldalt a böngészőben, amely rosszindulatú képfájlt tartalmazott. Ezután a Kindle elemzi a rosszindulatú kódot, és hagyja, hogy a hacker átvegye az eszközt.

Az Amazon szerint annyira nem volt súlyos az ügy

Az Amazon szóvivője megerősítette, hogy a Bar-On által talált hibákat kijavították, és szerinte a hibák révén még nem tudták volna a hackerek átvenni az áldozat Amazon-fiókját.

Eszközeink és szolgáltatásaink biztonsága kiemelt fontosságú. Az interneten keresztül már kiadtunk egy automatikus szoftverfrissítést, amely megoldotta ezt a problémát a 2014 után kiadott összes Amazon Kindle modellnél. Más, a Kindle által érintett készülékek is megkapják ezt a javítást. Vannak olyan intézkedéseink is, amelyek megakadályozzák az ügyfeleket abban, hogy ne kapjanak olyan tartalmat, amelyet nem kértek. Nagyra értékeljük független kutatók munkáját, akik segítenek felhívni a figyelmünket a lehetséges problémákra.

– állította a szóvivő egy e-mailben.

Bar-On szerint egyébként „nincs ok arra gyanakodni, hogy ezt a biztonsági rést valóban ki is használták, és az eszközöket már frissíteni kell a fix firmware verzióra”.

Mindenesetre ez az ügy jó emlékeztető arra nézve, hogy még a biztonságosnak ítélt eszközöknél is előfordulhat, hogy személyes adatainkat kiszivárogtatják. Az Amazon egyébként tavaly december 10-én javította ezeket a hibákat, miután Bar-On október 17-én jelentette azokat.