Les chercheurs en sécurité de Check Point Research (CPR) ont découvert des failles de sécurité dans Amazon Kindle qui pourraient permettre à un attaquant d’obtenir des informations stockées sur les appareils des utilisateurs si elles étaient exploitées.
Afin d’exploiter ces failles dans le e-reader le plus populaire au monde, un attaquant devrait envoyer un e-book malveillant à une victime. Une fois que ce livre électronique a été livré sur l’appareil d’un utilisateur, une victime potentielle doit simplement l’ouvrir pour démarrer la chaîne d’exploitation car aucune autre interaction de l’utilisateur n’est requise.
Au cours de ses tests, le CPR a démontré qu’un livre électronique pouvait être utilisé comme logiciel malveillant sur un Kindle d’Amazon, ce qui permettrait à un attaquant de supprimer la bibliothèque de livres électroniques d’un utilisateur ou de convertir son appareil en un bot malveillant lui permettant d’attaquer d’autres appareils sur le compte d’un utilisateur. réseau local.
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et nous apprécierions énormément que vous partagiez vos expériences avec nous.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <
De plus, un attaquant pourrait potentiellement voler un jeton d’appareil Amazon Kindle ou d’autres informations sensibles stockées sur la liseuse électronique d’un utilisateur.
Sommaire
Cibler un public très spécifique
Comme les failles de sécurité découvertes par CPR utilisent des livres électroniques malveillants comme vecteur d’attaque, un acteur malveillant pourrait cibler un public très spécifique lors du lancement de ses attaques.
Par exemple, si un attaquant voulait cibler un groupe de personnes ou un groupe démographique spécifique, il pourrait facilement sélectionner un livre électronique populaire dans la langue ou le dialecte correspondant pour orchestrer une cyberattaque hautement ciblée.
Heureusement, le CPR a divulgué ses conclusions à Amazon en février et le géant du commerce électronique a déployé un correctif en avril avec la sortie de la version 5.13.5 du firmware du Kindle qui s’installe automatiquement sur tous les appareils connectés à Internet.
Responsable de la cyber-recherche chez Check Point Software, Yaniv Balmas a averti dans un communiqué de presse qu’Amazon Kindle ainsi que tous les appareils IoT sont tout aussi vulnérables aux cyberattaques que les smartphones et les ordinateurs, déclarant :
« Nous avons trouvé des vulnérabilités dans Kindle qui auraient permis à un attaquant de prendre le contrôle total de l’appareil. En envoyant aux utilisateurs de Kindle un seul livre électronique malveillant, un acteur malveillant pourrait avoir volé toutes les informations stockées sur l’appareil, des informations d’identification du compte Amazon aux informations de facturation. Kindle, comme d’autres appareils IoT, est souvent considéré comme inoffensif et ignoré en tant que risque de sécurité. Mais nos recherches démontrent que tout appareil électronique, en fin de compte, est une forme d’ordinateur. Et en tant que tels, ces appareils IoT sont vulnérables aux mêmes attaques que les ordinateurs. Tout le monde doit être conscient des cyber-risques liés à l’utilisation de tout ce qui est connecté à l’ordinateur, en particulier quelque chose d’aussi omniprésent que le Kindle d’Amazon.
