Din Kindle kan användas för att hacka ditt Amazon-kontot

Ingen av sårbarheterna används aktivt

Posted by Av Mikael Anderberg 4 minuters läsning
amazon kindle paperwhite 2020
Gamla Kindle Paperwhite. Bild: Amazon

En ny typ av malware kan användas för att infektera och nyttja din e-boksläsare till att ta över ditt Amazon-konto. Allt som krävs är att du laddar ner en speciellt preparerad e-bok från internet.

TL;DR

  • En ny typ av skadlig kod kan infektera Kindle-läsare via särskilt preparerade e‑böcker som laddas ner från internet.
  • När den infekterade e‑boken öppnas aktiveras malware direkt och kan ta över det kopplade Amazon‑kontot.
  • Angripare kan få åtkomst till personlig information som namn, e‑post, adresser och uppgifter om kopplade betalkort.
  • Malwaren kan också användas för att identifiera fler enheter i samma trådlösa nätverk.
  • Sårbarheten upptäcktes av den etiska hackern Valentino Ricotta på Thales, som rapporterade den till Amazon innan den offentliggjordes.
  • Sårbarheten är ännu inte åtgärdad, men bedöms i nuläget inte utnyttjas aktivt.

När din Kindle-läsare har laddat ner e-boken och du försöker läsa den, aktiveras den skadliga koden omedelbart. I ett svep kan det länkade Amazon-kontot komprometeras.

Cyberkriminella kan potentiellt komma åt känslig data som din personliga information som namn, mejl, adresser och liknande. Värre är åtkomsten till information om betalkort som är kopplade till kontot.

Den skadliga koden kan även användas för att identifiera fler enheter i det trådlösa nätverket.

Amazon är medvetna om sårbarheten

Arkitekten bakom sårbarheten heter Valentino Ricotta. Han är en analytiker på Thales och arbetar som en så kallad etisk hacker. Innan sårbarheten presenterades öppet kontaktades Amazon via officiella kanaler för att hitta en lösning.

Vad är en etisk hacker?
En etisk hacker är en person som använder sina datorkunskaper för att testa och hitta säkerhetsbrister i datorer, nätverk eller system – men med tillåtelse. Målet är att upptäcka svagheter innan cyberkriminella gör det, så att sårbarheterna kan fixas. De följer lagar och regler och hjälper till att göra IT‑säkerheten bättre, inte sämre.

Som tack för rapporten om sårbarheten, som bedömes vara kritisk, belönades Valentino med 20 000 dollar, eller cirka 185 000 kronor. Alla pengar donerades till välgörenhet.

Sårbarheten är inte fixad i skrivande stund, men bedömds inte användas aktivt.

En annan sårbarhet som inte är fixad heller är en annan metod för kontoövertagande som nyttjar en bugg i det digitala tangentbordet som visas på skärmen när du vill skriva. Den kan nyttjas för att stjäla en så kallad ”session cookie” och ta över ditt Amazon-konto den vägen.

Vad är en session cookie?
En ”session cookie” är en liten fil som en webbplats tillfälligt sparar i din webbläsare medan du är inne på sidan. Den håller reda på saker som att du är inloggad eller vad du lagt i varukorgen. När du stänger webbläsaren raderas session-cookien automatiskt.

Lita inte på nedladdade böcker

Det är populärt att hitta och ladda ner e-böcker från internet. Ibland för att böckerna inte finns att skaffa via kompatibla e-boksbutiker, ofta för att den som laddar ner böckerna inte vill betala för dem.

Sårbarheter i e-böcker är inget nytt, men det här är en skarp påminnelse om att aldrig lita på de böcker du laddar ner från internet – om det inte är via officiella bokhandlare och återförsäljare.

Via The Times

Taggar
Mikael Anderberg
Visa fler artiklar
Mikael Anderberg är en veteran inom teknikvärlden med stor kännedom kring tillverkare, nya tekniker och produkter. Har mångårig erfarenhet från blogg- och it-världen vilken bidrar till utvecklingen av Tekniksmart tillsammans med andra entusiaster. Mikael har i grunden expertis inom fotografering och kamerautrustning, copywriter och content editing, och SEO. Läs mer om mig här.
Skribent