Check Point Research 在 Amazon Kindle 中发现了安全漏洞,这证实了它可以使用单个恶意电子书进行黑客攻击。 研究人员担心这些漏洞会允许针对特定的人口统计数据。
Check Point Research 是全球领先的网络安全解决方案提供商,在全球最受欢迎的电子阅读器 Amazon Kindle 中发现了安全漏洞。
如果遭到黑客攻击,他们将允许网络犯罪分子完全控制用户的 Kindle 并窃取设备的令牌或设备上存储的其他敏感信息,例如银行详细信息。
值得一提的是,该漏洞是通过在 Kindle 设备上下载恶意电子书触发的。
“我们在 Kindle 中发现了允许网络犯罪分子完全控制设备的漏洞。 通过向 Kindle 用户发送恶意电子书,他可以窃取存储在其中的任何信息,从亚马逊帐户凭证到银行信息,”Check Point Software 南拉丁美洲地区的国家经理 Gery Coronel 警告说。
他还指出,“与其他物联网设备一样,Kindle 通常被认为是无害的,不被视为安全风险。 但我们的研究表明,任何电子设备都容易受到攻击。 每个人都应该意识到使用任何与计算机连接的物品的网络风险,尤其是像亚马逊 Kindle 这样无处不在的物品。”
自 2007 年以来,亚马逊已售出数千万台 Kindle,其中许多用户可能因软件漏洞而遭到入侵。 这些设备可能成为机器人或破坏他们的私人本地网络,甚至他们的计费帐户信息可能会被盗。
远程访问用户 Kindle 的最简单方法是通过电子书。 实际上,可以通过“自出版”服务发布恶意书籍并使其在任何虚拟图书馆(包括 Kindle 商店)中可供免费访问,或者通过亚马逊的“运送到”服务将其直接发送到最终用户的设备。 Kindle”服务。
此黑客攻击涉及将恶意电子书发送给受害者,如果受害者打开,则会启动恶意软件链。 执行该漏洞不需要进一步的提示或交互。
Check Point 研究表明,其中之一可能会变成针对 Kindle 的恶意软件,从而导致许多后果,例如,删除用户的电子书或将 Kindle 变成恶意机器人,使其能够攻击其他人用户本地网络上的设备。
根据语言定位人口统计数据
安全漏洞最终可能使网络犯罪分子非常容易地针对任何类型的攻击针对非常特定的受众,这是 CPR 研究人员相当关注的问题。
例如,如果攻击者想要针对特定人群或他们位于特定的人口统计位置,他们只需要在相关电子书中选择一本流行的电子书来策划一次非常精确的网络攻击。
CPR 已于 2021 年 2 月向亚马逊披露了其调查结果。该公司于 2021 年 4 月在 Kindle 固件更新的 5.13.5 版中部署了修复程序。修补后的固件会自动安装在联网设备上。
“在这种情况下,最让我们震惊的是潜在目标受害者的准确程度。 这些安全漏洞使得针对非常特定的受众成为可能。 举一个随机的例子,如果网络犯罪分子想要针对罗马尼亚公民,他所要做的就是出版一些免费且流行的罗马尼亚语电子书,”科罗内尔指出。
他详细说明“从那里开始,他可以非常确定他的所有受害者确实来自这个国家:在网络犯罪和网络间谍活动的世界中,攻击性攻击能力的这种程度的特殊性非常受追捧。”
“如果落入坏人之手,这些进攻能力可能会造成严重损害,这让我们非常担忧。 我们再一次证明了我们可以找到这些类型的安全漏洞,以确保在“真正的”攻击者有机会利用它们之前缓解它们,”专家补充道。
