电子书Kindle被爆出3个新漏洞,黑客可瞬间清空用户余额

安全
去年10月份,以色列安全网络公司Realmode研究人员发现Kindle中的3个安全漏洞,事情被曝光后,很多人才知道,原来一个看书的设备,也可以成为黑客的攻击目标。

纸质书和电子书之争,在近些年逐渐被淡化,得益于智能手机的普及,越来越多的人养成数字阅读的好习惯。电子书阅读器由于类纸体验等优点,满足了广大深度阅读爱好者的需求,被越来越多的人接受。

亚马逊出品的Kindle最早杀入中国市场,依托平台优势,形成“硬件+内容+服务”的闭环生态,沉淀了一大批阅读爱好者,成为电子阅读器行业的领头羊。

去年10月份,以色列安全网络公司Realmode研究人员发现Kindle中的3个安全漏洞,事情被曝光后,很多人才知道,原来一个看书的设备,也可以成为黑客的攻击目标。

为什么黑客会攻击Kindle?正所谓有利益的地方,就有黑客。黑客之所以对Kindle感兴趣,主要与Kindle的盈利模式有关。用户购买Kindle后,仍然需要购买商店中的书籍,这个步骤必然涉及到支付,这给了黑客很大的动力。

研究人员发现的第一个漏洞,与“Send to Kindle”这一特征有关。这一特征允许用户通过邮件,将MOBI格式的电子书以附件的形式发送到Kindle设备。此时亚马逊会生成一个@Kindle。Com的邮箱地址,用户可以使用这一体质,实现电子书的发送。

黑客则可以利用这一特征,伪造一本电子书,当这本“电子书”发送到Kindle时,一旦用户点击含有恶意代码的电子书中的链接,Kindle会立刻打开浏览器,黑客的代码就会被执行,权限会得到相应提高。

不仅如此,研究人员还发现一个可以提升权限的漏洞,这一漏洞,可以使黑客以最高权限执行代码,达到完全控制Kindle的目的。

甚至黑客还可以访问设备凭证。虽然信用卡卡号和密码,并没有保存在并Kindle中,但攻击者只需要知道用户的邮件地址,并让用户点击恶意电子书的链接,用户很容易中招,一旦中招,黑客便可以使用用户的信用卡在Kindle商店购买书籍,只要黑客商店售书,再将用户的余额转移到自己的账户中即可。

庆幸的是,这一漏洞是安全网络公司研究人员首次发现的,在第一时间就提交给亚马逊官方。亚马逊通过漏洞奖励计划,奖励给研究人员1.8万美元,并随后给Kindle打上了代码提升权限的补丁。

完整技术分析:

https://medium.com/realmodelabs/kindledrip-from-your-kindles-email-address-to-using-your-credit-card-bb93dbfb2a08

 

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2021-08-09 12:35:43

漏洞网络安全网络攻击

2011-06-21 15:37:23

KindleNook电子书

2011-03-09 09:56:28

Kindle亚马逊电子书

2020-03-13 19:26:38

Linux电子书阅读器桌面应用

2018-12-26 10:06:28

Linux电子书阅读器命令

2017-10-16 15:49:31

Linux阅读器电子书

2020-03-03 15:17:45

Linux电子书命令

2013-06-14 10:13:06

PythonPython电子书Python教程

2012-03-20 09:43:11

Boogie Boar

2009-06-12 16:52:49

2023-05-04 07:37:44

KDEArianna

2010-10-27 09:48:10

2011-12-13 14:43:29

51CTO

2020-06-15 18:20:37

Fedora电子书开源

2012-05-21 10:50:12

Kindle Fire亚马逊平板广告

2009-06-17 16:12:26

java电子书制作软件

2018-12-05 16:00:32

MongoDB数据库NoSQL

2016-11-23 08:48:24

LinuxCalibre电子书

2013-03-14 10:49:09

2020-01-02 11:20:35

LibreOffice电子书应用
点赞
收藏

51CTO技术栈公众号