Kradzież ciasteczek z Amazona – uważaj przy pobieraniu eBooków na Kindla


Kradzież ciasteczek z Amazona – uważaj przy pobieraniu eBooków na Kindla
2014-09-18
Kłopotliwy błąd na stronie Amazon Kindle może narażać użytkowników na niebezpieczeństwo

Benjamin Daniel Mussler, analityk zajmujący się badaniem bezpieczeństwa systemów, stwierdził, że zakładka „Zarządzanie treścią i urządzeniem” oraz usługa „Zarządzanie Kindle” w internetowej bibliotece Kindle Amazon są podatne na ataki typu cross-site scripting (XSS). Lukę w serwisie można wykorzystać umieszczając w tytule ebooka specjalnie spreparowaną pułapkę−odnośnik, przyjmujący formę “<script src=”https://www.example.org/script.js”></script>” i wystarczający do przeprowadzenia ataku na nieświadomego użytkownika.

Kiedy fałszywy eBook zostanie dodany do biblioteki, złośliwy kod jest automatycznie wykonywany. Wystarczy, że strona biblioteki Kindle będzie otwarta. Mussler twierdzi, że „ciasteczka przypisane do konta Amazon mogą zostać przekazane do atakującego, jednocześnie naruszając konto ofiary”.

Dobrą wiadomością dla użytkowników jest małe prawdopodobieństwo znalezienia eBooka ze spreparowanym tytułem w oficjalnym sklepie Kindle. Jedyną realną szansą doświadczenia oszustwa jest pobieranie pirackich książek oraz korzystanie z podejrzanych źródeł. Gdy skorzysta się z usługi Amazon „wyślij na Kindla”, zarażone pliki mogą znaleźć się na naszym czytniku.

Benjamin Mussler uważa, że luka w oprogramowaniu Amazon znana jest już od dawna. Po raz pierwszy wspomniał o niej w swoim branżowym raporcie w listopadzie 2003 roku – wraz z przykładem eBooka, który pobierał i przesyłał dalej pliki cookies. Technikom z firmy Amazon udało się naprawić tę usterkę w ciągu 4 dni. Analityk był w szoku, że ta sama luka pojawiła się ponownie dwa miesiące temu i do teraz nie została naprawiona. Kierowane do Amazon monity pozostają natomiast bez odpowiedzi. Takie zachowanie sprawiło, że Mussler zdecydował o upublicznieniu swoich wyników. Dodatkowo opublikował na swojej stronie przykładowy kod, który każdemu umożliwia wykorzystanie luki i przeprowadzenie ataku.

− Czy zachowanie Benjamina Musslera było słuszne? Na pewno dyskusyjne – uważa Marek Markowski, szef MARKEN Systemy Antywirusowe, firmy zajmującej się bezpieczeństwem i ochroną danych w sieciach komputerowych. – Zastanawiające jest milczenie ze strony takiego giganta, jakim jest Amazon, a także ponowna podatność systemu na ujawnione przez Musslera ataki. Po upublicznieniu informacji, Amazon w trybie pilnym będzie musiał trwale wyeliminować lukę, dbając o swoją dobrą reputację – dopowiada Marek Markowski.

Tymczasem użytkownicy czytników Kindle, w trosce o własne bezpieczeństwo, powinni korzystać wyłącznie z publikacji dostępnych na oficjalnych witrynach.

Nadesłał:

Marken

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl