新的亞馬遜 Kindle 漏洞可能讓攻擊者劫持您的電子書閱讀器
今年4月早些時候,亞馬遜解決了Kindle電子書閱讀器平臺中的一個嚴重漏洞,該漏洞可能被利用來完全控制使用者的裝置,僅透過部署惡意電子書就可以竊取敏感資訊。
Check Point網路研究主管在一封電子郵件宣告中表示:“透過向Kindle使用者傳送一本惡意電子書,攻擊者可能竊取裝置上儲存的任何資訊,從亞馬遜帳戶憑據到賬單資訊。” “安全漏洞允許攻擊者針對非常特定的受眾。”
換句話說,如果威脅行為者想要挑出特定的人群或人口統計,對手可能會選擇一種流行的電子書,該電子書採用該群體中廣泛使用的語言或方言來定製和編排具有高度針對性的網路攻擊。
在2021年2月負責任地向亞馬遜披露該問題後,這家零售和娛樂巨頭於2021年4月釋出了修復程式,作為其5.13.5 版Kindle韌體的一部分。
利用該漏洞的攻擊首先向目標受害者傳送惡意電子書,受害者在開啟電子書時會觸發感染序列,無需任何互動,從而允許惡意行為者刪除使用者的圖書館,獲得對亞馬遜帳戶的完全訪問許可權,或將 Kindle 轉換為機器人,以攻擊目標本地網路中的其他裝置。
JBIG2Globals 解碼演算法中的堆溢位漏洞
問題在於韌體的電子書解析框架,特別是與PDF文件開啟方式相關的實現,允許攻擊者在裝置上執行惡意負載。
這要歸功於PDF渲染功能中的堆溢位漏洞 (CVE-2021-30354),可利用該漏洞獲得任意寫入原語,以及Kindle應用程式管理器服務中的本地提權漏洞 (CVE-2021) -30355),使威脅行為者能夠將兩個缺陷連結起來,以root使用者身份執行帶有惡意軟體的程式碼。
今年1月初,亞馬遜修復了類似的漏洞——統稱為“ KindleDrip ”——攻擊者可以透過向目標傳送惡意電子書並進行未經授權的購買來控制受害者的裝置。
“與其他物聯網裝置一樣,Kindle 通常被認為是無害的,並且被忽視為安全風險,這些物聯網裝置很容易受到與計算機相同的攻擊。每個人都應該意識到使用連線到計算機的任何東西的網路風險,尤其是像亞馬遜Kindle這樣無處不在的東西。”
軟體中的安全漏洞為網路犯罪分子提供了很好的攻擊通道,軟體安全是網路安全最基礎防線。因此加強網路安全亟需確保軟體安全,尤其減少軟體中的安全漏洞,可以大大降低網路攻擊發生的頻率。透過 靜態程式碼檢測可以有效減少30%-70%的安全漏洞,因此企業在進行安全建設時,不止要加強如防火牆、防毒軟體等安全防護手段,也要在軟體開發過程中將程式碼安全檢測與黑盒測試相結合,以確保軟體能更好地抵抗網路攻擊。
Wukong(悟空)靜態程式碼檢測工具,從原始碼開始,為您的軟體安全保駕護航!
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2785913/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 亞馬遜中國:2020年度Kindle閱讀榜單亞馬遜
- 亞馬遜中國:2020年Q1 Kindle付費電子書暢銷榜TOP 10亞馬遜
- 如何避免讓您的亞馬遜賬戶被暫停?亞馬遜
- 電子書Kindle被爆出3個新漏洞,黑客可瞬間清空使用者餘額黑客
- 電子書閱讀 AppAPP
- GM Reader Pro for Mac(電子書閱讀器)Mac
- 新的Cobalt Strike 漏洞允許關閉攻擊者的伺服器伺服器
- 亞馬遜銷售最好的書籍亞馬遜
- 如何透過體驗式電子商務模式擊敗亞馬遜? - Greg模式亞馬遜
- Clearview for Mac電子書閱讀工具ViewMac
- 可在 Linux 桌面使用的 3 個電子書閱讀器應用Linux
- 標籤式電子書閱讀器:Clearview X for MacViewMac
- Mac電子書閱讀工具——Clearview for MacMacView
- 亞馬遜跨境電商亞馬遜
- 新的Google Chrome攻擊可能會讓Windows 10裝置發生假死GoChromeWindows
- 優質的mac電子書轉換軟體,讓你在任何地方閱讀書籍!Mac
- 將亞馬遜飛輪融入您的開發過程 - Shiraberkovi亞馬遜
- 亞馬遜全新Kindle Paperwhite釋出:加入防水功能、儲存空間翻倍亞馬遜
- Digital Commerce 360:88%的亞馬遜購物者在購物時只考慮亞馬遜Git亞馬遜
- Feedvisor報告:電子商務時代的品牌和亞馬遜–2020版亞馬遜
- 電子書閱讀器:GM EPUB Reader Pro for mac 免啟用版Mac
- 子域名劫持漏洞的挖掘指南、子域名劫持怎麼檢測
- 亞馬遜雲伺服器aws配置ssl https證書亞馬遜伺服器HTTP
- Calibre for Mac電子書閱讀管理工具Mac
- Redis漏洞攻擊植入木馬逆向分析Redis
- 亞馬提供700+例項,亞馬遜雲科技如何讓雲伺服器便宜好用亞馬遜伺服器
- 新的 Azure AD 漏洞讓黑客在不被發現的情況下發動攻擊黑客
- kindle電子書_越獄後koreader中自帶OCR功能的設定
- 流量劫持攻擊之鏈路劫持剖析
- Mac電子閱讀器——MarginNote X pro for MacMac
- 亞馬遜反擊甲骨文的“謠言”:你的話沒人信!亞馬遜
- Kindle退市,掌閱iReader或將接過電紙書市場大旗
- 電子書閱讀器:GM EPUB Reader Pro for mac v2.5.2免啟用版Mac
- 亞馬遜、谷歌和微軟寸土必爭的新戰場亞馬遜谷歌微軟
- 亞馬遜erp_賣家如何選擇亞馬遜erp?亞馬遜
- 亞馬遜定價_亞馬遜erp產品定價策略亞馬遜
- Shen攻擊:亞太港口重大網路攻擊可能造成1100億美元損失
- IE發現新的零日攻擊漏洞使用者可採取緩解措施