Desde o lançamento em 2007, os e- books Kindle da Amazon se tornaram uma ferramenta quase essencial no arsenal de qualquer bookworm, contendo centenas de títulos diferentes em um único dispositivo. O problema com a digitalização do processo de leitura, no entanto, é que nem mesmo sua biblioteca está protegida contra ataques.
De acordo com um relatório da empresa de segurança Realmode Labs, uma cadeia de vulnerabilidades presentes até recentemente nos e- books do Kindle criaram uma situação em que um invasor poderia comprometer o dispositivo e a conta da vítima.
O exploit girava em torno do popular recurso “Send to Kindle”, que permite aos usuários entregar ebooks em seus dispositivos via e-mail, explicou o pesquisador Yogev Bar-on em uma postagem no blog. Armado com o conhecimento do endereço do dispositivo, um hacker pode ter entregue um e-book malicioso que, quando clicado, permitiria a execução arbitrária de códigos.
Por esse método de ataque, diz Bar-On, um invasor poderia ter obtido acesso a dados pessoais, feito compras usando o cartão de crédito do proprietário e vendido e-books no mercado Kindle antes de desviar fundos para sua própria conta.
Vulnerabilidade de segurança do Kindle
Embora os usuários possam pensar que seu Kindle está em baixa na lista de dispositivos que provavelmente serão alvos de cibercriminosos, a descoberta atua como um lembrete de que toda a tecnologia conectada à Internet pode ser explorada para roubar fundos e dados pessoais.
Como tal, é importante que os proprietários de dispositivos sejam cautelosos ao clicar em links da web de fontes duvidosas, anexos de e-mail não solicitados e, neste caso, e-books que aparecem em seus dispositivos de forma inesperada.
A Amazon foi alertada sobre as vulnerabilidades do Kindle em outubro e, desde então, lançou uma correção automática para vários modelos. De acordo com Bar-On, não há evidências de que a exploração foi abusada na selva enquanto permaneceu ativa.
“A segurança de nossos dispositivos e serviços é uma prioridade. Lançamos uma atualização automática de software pela Internet que corrige esse problema para todos os modelos do Amazon Kindle lançados após 2014. Outros modelos do Kindle afetados também receberão essa correção ”, disse um porta-voz da Amazon.
“Também temos medidas em vigor para ajudar a evitar que os clientes recebam conteúdo que não tenham solicitado. Agradecemos o trabalho de pesquisadores independentes que nos ajudam a trazer problemas em potencial ”.
Em uma troca de e-mail com o TechRadar Pro , a Amazon explicou que, desde então, adicionou caracteres adicionais aos aliases de e-mail do dispositivo, tornando-os muito mais difíceis de adivinhar. Em outros casos, os clientes receberão notificações por e-mail que exigem confirmação adicional antes que um e-book seja entregue ao dispositivo.
A Amazon também procurou esclarecer que um invasor não pode obter acesso aos detalhes brutos do cartão de crédito nem às senhas das contas pelo método demonstrado pelos pesquisadores, porque os dados não são armazenados no dispositivo.
