Check Point Research trouve une vulnérabilité dans Amazon Kindle

0

Depuis 2007, Amazon a vendu des dizaines de millions de Kindle, un chiffre impressionnant. Mais cela signifie aussi que des dizaines de millions de personnes auraient pu être piratées grâce à un bug logiciel dans ces mêmes Kindle. Leur appareil pourrait être transformé en robot ou leurs réseaux locaux privés pourraient être compromis, et peut-être même que les informations de leurs comptes de facturation pourraient être volées.

Le moyen le plus simple d’accéder à distance au Kindle d’un utilisateur c’est d’utiliser un e-book. Un livre malveillant peut ainsi être publié et mis à disposition en libre accès dans n’importe quelle bibliothèque virtuelle, y compris sur le Kindle Store, via le service « auto-édition », ou être envoyé directement sur l’appareil de l’utilisateur final via le service « envoyer sur le kindle » d’Amazon.

Si jamais l’utilisateur ouvre ce livre malveillant sur un Kindle, un morceau de code caché peut être exécuté avec des droits d’administrateur. A partir de ce stade, l’utilisateur peut considérer qu’il a perdu le contrôle de son e-reader. Le code malveillant étant exécuté avec les droits de l’utilisateur root, la simple ouverture d’un tel livre aurait pu entraîner des dommages irréparables. L’attaquant aurait pu supprimer les e-books de l’utilisateur, obtenir potentiellement un accès complet à son compte Amazon, convertir son Kindle en robot, attaquer d’autres appareils de son réseau local, etc.

Les problèmes que Check Point a découvert ont été signalés à Amazon en février 2021 et corrigés dans la version 5.13.5 du micrologiciel du Kindle en avril 2021. Le micrologiciel corrigé sera installé automatiquement sur les appareils connectés à Internet.

Travaux réalisés par : Slava Makkaveev

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.