Ein unscheinbares E-Book reichte, um Kindle-Reader zu kapern

6. August 2021, 15:06
  • security
  • lücke
  • amazon
  • check point
image

Sicherheitsforschern wäre es damit auch gelungen, Amazon-Konten zu übernehmen. Amazon hat die Lücke mittlerweile geschlossen.

"Lesen Sie gerne? Ich kann Ihren Kindle mit einem E-Book übernehmen" – so übertiteln Sicherheitsforscher von Check Point ihren Bericht zu einer Lücke im beliebten Kindle-Reader von Amazon.
Seit 2007 habe Amazon zig Millionen Kindles verkauft, was beeindruckend sei. Dies bedeute aber auch, heisst es weiter, dass durch einen Softwarefehler in denselben Kindles möglicherweise zig Millionen Menschen gehackt worden sein könnten.
Die Forscher beschreiben, wie Angreifer ein mit Malware infiziertes E-Book kostenlos im Kindle-Store hätten anbieten können. Wer dieses auf sein Gerät lädt und öffnet, hätte den schädlichen Code mit Root-Zugriff aktiviert, der das Kindle-Gerät knacken und den Bildschirm des Nutzers sperren könnte. Hacker hätten danach vollen Zugriff auf das Gerät gehabt.
Die Malware konnte auch das Amazon-Kennwort auslesen. Accounts ohne Zwei-Faktor-Authentifizierung hätten so übernommen werden und Bezahl-Informationen entwendet werden können.
In ihrem Bericht legen die Forscher von Check Point den Angriffsweg auf Kindle-Reader dar. Sie hätten die gefundenen Probleme im Februar 2021 an Amazon gemeldet, diese seien im April 2021 in der Version 5.13.5 der Kindle-Firmware behoben worden. Die gepatchte Firmware wird automatisch auf Geräten installiert, die mit dem Internet verbunden sind.

Loading

Mehr zum Thema

image

Report: Githubs KI-Tool Copilot macht Code unsicherer

Das einst gross angekündigte Tool von Github schreibe eine Menge Lücken in Software, erklären Forscher aus den USA. Sie haben ihre Befunde an der Black-Hat-Konferenz präsentiert.

publiziert am 12.8.2022
image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022