I dati account degli utenti Amazon possono essere ottenuti da pirati, cracker e malintenzionati sfruttando una vulnerabilità contenuta nella pagina web di gestione di Kindle. Per sfruttare questa falla occorre scaricare un ebook al cui interno è stato integrato del codice malevolo scritto ad hoc, operazione possibile solo con libri digitali piratati, provenienti da fonti e siti non autorizzati.
La scoperta di questa vulnerabilità da parte del ricercatore Benjamin Daniel Musser non è nuova né recente, infatti Musser aveva già rilevato questa possibilità nel mese di ottobre del 2013. In pochi giorni Amazon ha rimosso la falla contenuta nella pagina web di gestione Kindle. Ora però la vulnerabilità risulta di nuovo funzionante a seguito di una operazione di aggiornamento di questa sezione del sito Amazon. Il pericolo maggiore riguarda gli utenti che scaricano ebook piratati e da fonti o siti non autorizzati: i libri digitali compromessi a questo scopo contengono la stringa <script src=”https://www.example.org/script.js”></script> nel soggetto. Se un ebook contenente codice malevolo viene caricato nella libreria Kindle dell’utente, l’attaccante ottiene l’accesso ai cookies del sistema e da qui è possibile accedere nome utente e passwoerd dell’account Amazon.
Anche se la vulnerabilità è di nuovo funzionante, il ricercatore spiega che fino a una risoluzione da parte di Amazon, risulta piuttosto semplice evitare il problema: è sufficiente evitare di scaricare libri gratuiti e piratati da siti diversi di quello di Amazon. Sempre Musser ha rilevato che la stessa falla poteva essere sfruttata all’interno di Calber, noto e apprezzato software anche per Mac per gestire ebook. Lo sviluppatore di Caliber ha comunque rilevato il problema e prontamente rilasciato l’aggiornamento 1.8 che chiude la vulnerabilità.
