外网曝Kindle存在安全漏洞?!攻击者可接管你的设备!

最近,外网媒体爆料:亚马逊为了一个Kindle 的安全漏洞消息,奖励了发现者1.8万美金,利用这个漏洞,攻击者只要知道用户的电子邮箱地址就可以完全控制用户的Kindle 。

外网曝Kindle存在安全漏洞?!攻击者可接管你的设备!

来源:GoodEreader



根据外网的多个媒体渠道报道:

以色列网络安全咨询公司Realmode Labs的研究员Yogev Bar-On于2020年10月发现了这一名为KindleDrip的攻击。


KindleDrip可以利用Kindle 的三个不同的安全漏洞对用户的Kindle 进行攻击,这些攻击可能使黑客能够访问你的整个Kindle设备。

外网曝Kindle存在安全漏洞?!攻击者可接管你的设备!


1、第一个漏洞与“发送到Kindle”功能有关。
这个功能允许用户通过电子邮件将MOBI格式的电子书作为附件发送到Kindle设备。Amazon生成了一个@Kindle.com电子邮件地址,用户可以从其认可的电子邮件地址将电子书以附件形式发送至该地址。


2、第二个漏洞与Kindle 的体验浏览器有关。
Kindle用于解析JPEG XR图像的库存在一个安全漏洞,攻击者可以借助特制的电子书利用该漏洞实现执行代码。
如果用户点击了包含恶意JPEG XR图像的电子书内的链接,浏览器将加载该恶意图像,攻击者就可利用该漏洞以有限的权限执行代码。


3、第三个漏洞,即权限升级错误。
攻击者可以在漏洞二的基础上提升权限并以root身份执行代码,从而使他能够完全访问设备。


利用这三个漏洞,攻击者就可以在只要知道用户电子邮箱地址的情况下对用户的Kindle进行攻击:

①、发布一个带恶意链接的电子书到用户的Kindle上
虽然只有被添加到白名单的邮箱才被允许发送电子书到Kindle上,但是攻击者可以通过电子邮件欺骗服务伪装成用户的电子邮箱。)
外网曝Kindle存在安全漏洞?!攻击者可接管你的设备!

②、诱使用户点击电子书中的链接。
外网曝Kindle存在安全漏洞?!攻击者可接管你的设备!

③、控制用户的Kindle设备。
外网曝Kindle存在安全漏洞?!攻击者可接管你的设备!

④、在亚马逊网站上登录用户的账号进行恶意操作。
外网曝Kindle存在安全漏洞?!攻击者可接管你的设备!

这些漏洞是Realmode Labs的研究员Yogev Bar-On于2020年10月发现的,并且已经上报给了亚马逊,为此次亚马逊还付出了1.8万美元的奖金。


亚马逊发言人称:已经通过互联网发布了自动软件更新,解决了2014年之后发布的所有Amazon Kindle机型的此问题,其他受影响的Kindle型号也将获得此修复,还采取了一些措施,以防止客户收到他们未要求的内容。
外网曝Kindle存在安全漏洞?!攻击者可接管你的设备!


这一更新指的就是12月份发布的Kindle 5.13.4 固件。
用户只要更新最新的5.13.4固件,就可以修复这些安全漏洞。所以,对于Kindler 来说,升级5.13.4 固件还是非常重要的,还没有升级的小伙伴要尽快了。


5.13.4 固件升级详情【固件更新】Kindle 升级至5.13.4固件:主页有了新变化····
如何获得5.13.4 固件在公众号回复【5.13.4】获取!


— The End —

                                                      

选购Kindle | 获取电子书 | 看漫画必备

入门指南 | 小技巧合集 | 隐藏小技巧

导入书籍 | 辅助工具 | 电子书格式

          阅读PDF文件 | 亚马逊榜单           


外网曝Kindle存在安全漏洞?!攻击者可接管你的设备!


扫 码 有 礼




外网曝Kindle存在安全漏洞?!攻击者可接管你的设备!
上天不会辜负一个努力勤奋的人

外网曝Kindle存在安全漏洞?!攻击者可接管你的设备!
阅读,一部Kindle就够了

                     

客官!你在看吗~

                                                  

静读君

公众号静读派、静读空间编辑; 一个热爱分享kindle技巧与阅读心得的Kindler! 关于Kindle与电纸书,你想知道的都在这里!

You may also like...

发表评论

电子邮件地址不会被公开。