A Check Point Research encontrou falhas de segurança no Amazon Kindle, que confirmam que ele pode ser hackeado usando um único e-book malicioso. Os pesquisadores temiam que essas vulnerabilidades permitissem o direcionamento de dados demográficos específicos.

A Check Point Research, fornecedora líder de soluções de segurança cibernética em todo o mundo, encontrou falhas de segurança no Amazon Kindle, o leitor eletrônico mais popular do mundo.

Se hackeados, eles teriam permitido que um cibercriminoso assumisse o controle total do Kindle de um usuário e roubasse o token do dispositivo ou outras informações confidenciais armazenadas no dispositivo, como dados bancários.

You Might Also Like
A Xiaomi lançará uma versão especial do popular mid-range Note 8 em 2021
A Xiaomi lançará uma versão especial do popular mid-range Note 8 em 2021
A OpenAI Research prova que as alucinações LLM matematicamente inevitáveis, propõe a correção dispendiosa
A OpenAI Research prova que as alucinações LLM matematicamente inevitáveis, propõe a correção dispendiosa
Spotify Premium para adicionar streaming de áudio sem perdas
Spotify Premium para adicionar streaming de áudio sem perdas

Vale a pena mencionar que a vulnerabilidade é desencadeada pelo download de um e-book malicioso em um dispositivo Kindle.

“Encontramos vulnerabilidades no Kindle que teriam permitido que um cibercriminoso assumisse o controle total do dispositivo. Ao enviar aos usuários do Kindle um e-book malicioso, ele poderia ter roubado qualquer informação armazenada nele, de credenciais de conta da Amazon a informações bancárias ”, avisa Gery Coronel, gerente nacional para a região da América Latina do Sul da Check Point Software.

  Vazou o Samsung Galaxy Z Flip 3: especificações, imagens e muito mais

Ele também observa que “o Kindle, como outros dispositivos IoT, geralmente são considerados inócuos e não são considerados riscos à segurança. Mas nossa pesquisa mostra que qualquer dispositivo eletrônico é vulnerável a ataques. Todos devem estar cientes dos riscos cibernéticos de usar qualquer item conectado ao computador, especialmente algo tão onipresente como o Kindle da Amazon. ”

Desde 2007, a Amazon vendeu dezenas de milhões de Kindles, muitos dos quais poderiam ter sido violados por meio de um bug em seu software. Esses dispositivos podem se tornar bots ou comprometer suas redes locais privadas ou até mesmo as informações de sua conta de faturamento podem ser roubadas.

Amazon Kindle: o leitor eletrônico mais popular do mundo, presa cobiçada pelos cibercriminosos
Amazon Kindle: o leitor eletrônico mais popular do mundo, presa cobiçada pelos cibercriminosos

A maneira mais fácil de acessar remotamente o Kindle de um usuário é por meio de um e-book. Na verdade, é possível publicar um livro malicioso e disponibilizá-lo para acesso gratuito em qualquer biblioteca virtual, incluindo a Kindle Store, por meio do serviço de “autopublicação”, ou enviá-lo diretamente para o dispositivo do usuário final por meio do “envio para Serviço Kindle ”.

  Evil Dead The Game: requisitos do sistema, revisão e mais

Esse hack envolve o envio de um e-book malicioso para a vítima que, se aberto, inicia a cadeia de malware. Nenhuma solicitação ou interação adicional é necessária para executar a exploração.

A Check Point Research mostrou que um deles pode ser transformado em malware contra o Kindle, levando a uma série de consequências, como, por exemplo, a exclusão de e-books de um usuário ou o Kindle sendo transformado em um bot malicioso, permitindo que ataque outros dispositivos na rede local do usuário.

Segmentar dados demográficos com base no idioma

As falhas de segurança podem eventualmente tornar extremamente fácil para um cibercriminoso atingir um público muito específico para qualquer tipo de ataque, o que é uma preocupação considerável para os pesquisadores de RCP.

Por exemplo, se o invasor quisesse atingir um determinado grupo de pessoas ou se eles estivessem em uma localização demográfica específica, ele só precisaria selecionar um e-book popular no local relevante para orquestrar um ataque cibernético muito preciso.

O CPR já divulgou suas descobertas para a Amazon em fevereiro de 2021. A empresa implantou uma correção na versão 5.13.5 da atualização do firmware do Kindle em abril de 2021. O firmware corrigido é instalado automaticamente em dispositivos conectados à Internet.

  Como remover Adobe Flash do Mac, já que você não precisa mais dele

“Nesse caso, o que mais nos assustou foi o grau de precisão da vítima potencialmente visada. Essas vulnerabilidades de segurança tornam possível atingir um público muito específico. Para usar um exemplo aleatório, se um cibercriminoso quisesse atingir cidadãos romenos, tudo o que ele teria de fazer seria publicar um e-book gratuito e popular na língua romena ”, destaca Coronel.

E ele detalha que “a partir daí, ele poderia ter certeza de que todas as suas vítimas seriam de fato deste país: esse grau de especificidade nas capacidades de ataque ofensivo é muito procurado no mundo do crime cibernético e da espionagem cibernética”.

“Em mãos erradas, essas capacidades ofensivas podiam causar sérios danos, o que nos preocupava muito. Mais uma vez, demonstramos que podemos encontrar esses tipos de vulnerabilidades de segurança para garantir que sejam mitigadas antes que invasores ‘reais’ tenham a oportunidade de explorá-las ”, completa o especialista.