Amazon paga 18.000 dólares al investigador que encontró una infracción grave en Kindle

El investigador Yogev Bar-On, miembro del equipo de consultoría de ciberseguridad israelí Realmode Labs, fue presentado por Amazon con el recompensa de US $ 18 mil (alrededor de R $ 96 mil) después de encontrar una vulnerabilidad muy grave en dispositivos Kindle. Si se explota, la laguna jurídica, que se denominó KindleDrip, permitiría al ciberdelincuente tomar el control total sobre el lector de libros electrónicos atacado.


El error aprovecha la función “Enviar a Kindle”, que permite al usuario enviar libros en formato MOBI por correo electrónico a su dispositivo cuando escribe en una dirección única generada aleatoriamente para su cuenta de Kindle (en el dominio @ kindle.com). Bar-On descubrió que él podría diseñar un libro electrónico que contenga un enlace a un archivo malicioso que le permita ejecutar código arbitrario en el dispositivo y envíelo a esa dirección de correo electrónico.

Aquí hay un detalle importante: el sistema Enviar a Kindle solo permite que los correos electrónicos autorizados envíen libros electrónicos a @ kindle.com, pero el investigador logró usar una técnica de suplantación de identidad para falsificar estos correos electrónicos autorizados y hacerse pasar por el usuario, enviando libros a voluntad al gadget. Una vez que la víctima hizo clic en el enlace malicioso, el navegador web se abriría y descargaría un archivo JPEG XR que contenía el script en sí.

“El atacante puede acceder a las credenciales del dispositivo y realizar compras en la tienda Kindle utilizando la tarjeta de crédito de la víctima. Los atacantes pueden vender un libro electrónico en la tienda y transferir dinero a su cuenta. Al menos el correo electrónico de confirmación informaría a la víctima de la compra ”, explicó Bar-On, en una publicación en su blog que explica paso a paso cómo explotar la falla.

Tales lagunas obligaron a Amazon a, además de recompensar al experto con un premio generoso, corregir errores en el nuevo firmware; así que si tienes un dispositivo Kindle, asegúrese de tener instalada la compilación 5.13.4 o superior en su lector electrónico.


Fuente: SecurityWeek

See the original post at: https://thehack.com.br/amazon-paga-us-18-mil-para-pesquisador-que-encontrou-brecha-grave-no-kindle/?rand=48889

También podría gustarte

More Similar Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.