Depuis leur lancement en 2007, les ebooks Kindle d’Amazon sont devenus un outil quasi essentiel dans l’arsenal de tout rat de bibliothèque, contenant des centaines de titres différents sur un seul appareil. Le problème avec la numérisation du processus de lecture, cependant, est que même votre bibliothèque n’est plus à l’abri des attaques.
Selon un rapport de la société de sécurité Realmode Labs, une chaîne de vulnérabilités présentes jusqu’à récemment dans les ebooks Kindle avait créé une situation dans laquelle un attaquant pouvait compromettre l’appareil et le compte d’une victime.
L’exploit tournait autour de la fonctionnalité populaire «Envoyer vers Kindle», qui permet aux utilisateurs de livrer des livres électroniques sur leurs appareils par e-mail, a expliqué le chercheur Yogev Bar-on dans un article de blog. Armé de la connaissance de l’adresse de l’appareil, un pirate informatique aurait pu livrer un ebook malveillant qui, lorsqu’il cliquait dessus, lui permettrait d’exécuter du code arbitraire.
Par cette méthode d’attaque, explique Bar-On, un attaquant aurait pu accéder à des informations personnelles, effectuer des achats en utilisant la carte de crédit du propriétaire et vendre des livres électroniques sur le marché Kindle avant de siphonner des fonds sur son propre compte.
Sommaire
Vulnérabilité de sécurité du Kindle
Bien que les utilisateurs puissent penser que leur Kindle est en bas de la liste des appareils susceptibles d’être ciblés par les cybercriminels, la découverte rappelle que toutes les technologies connectées à Internet peuvent être exploitées pour voler des fonds et des données personnelles.
En tant que tel, il est important que les propriétaires d’appareils fassent preuve de prudence lorsqu’ils cliquent sur des liens Web provenant de sources peu recommandables, des pièces jointes non sollicitées et, dans ce cas, des ebooks qui apparaissent de manière inattendue sur leurs appareils.
Amazon a été alerté des vulnérabilités du Kindle en octobre et a depuis publié un correctif automatique pour un certain nombre de modèles. Selon Bar-On, il n’y a aucune preuve que l’exploit a été abusé dans la nature alors qu’il est resté actif.
«La sécurité de nos appareils et services est une priorité absolue. Nous avons publié une mise à jour logicielle automatique sur Internet pour résoudre ce problème pour tous les modèles Amazon Kindle sortis après 2014. D’autres modèles Kindle concernés recevront également ce correctif », a déclaré un porte-parole d’Amazon.
«Nous avons également mis en place des mesures pour empêcher les clients de recevoir du contenu qu’ils n’ont pas demandé. Nous apprécions le travail de chercheurs indépendants qui nous aident à attirer notre attention sur des problèmes potentiels.
Lors d’un échange d’e-mails avec TechRadar Pro, Amazon a expliqué qu’il avait depuis ajouté des caractères supplémentaires aux alias de messagerie des appareils, ce qui les rendait beaucoup plus difficiles à deviner. Dans d’autres cas, les clients recevront des notifications par e-mail qui nécessitent une confirmation supplémentaire avant qu’un livre électronique ne soit livré sur l’appareil.
Amazon a également cherché à clarifier qu’un attaquant ne pouvait pas accéder aux détails bruts de la carte de crédit ni aux mots de passe de compte par la méthode démontrée par les chercheurs, car les données ne sont pas stockées sur l’appareil.
Via VICE
