[English]Sicherheitsforscher von Check Point haben eine gefährliche Sicherheitslücke im eBook-Lesegerät Amazon Kindle gefunden. Über Schadcode hätten Angreifer das verknüpfte Amazon-Konto des Gerätebesitzers übernehmen oder dessen Daten auslesen können. Inzwischen hat Amazon diese Schwachstelle durch ein Update geschlossen. Die Leute von Check Point haben mich per E-Mail über diesen Sachverhalt informiert.
Anzeige
Sicherheitsforscher von Check Point sind auf eine gravierende Schwachstelle in Amazons eBook-Lesegerät Kindle gestoßen. Der beliebte E-Book-Reader, seit der Einführung im Jahr 2007 wurden wahrscheinlich viele Millionen der Kindle-Geräte verkauft, konnte durch einen sehr einfachen Hack übernommen werden. Angreifer hätten dadurch nicht nur alle Daten des Geräts, wozu die Passwörter gehören, auslesen können. Durch die Schwachstelle wäre es Angreifern sogar möglich gewesen, in den Besitz des vollständigen Amazon-Kontos zu gelangen.
Angriff über Download
Laut Check Point wäre ein Angriff über ein verseuchtes eBook (PDF-Datei) möglich geworden. Die Angreifer können in einem solchen eBook ihre Malware oder einen Payload verstecken, und das Ganze zum Herunterladen anbieten. Wer dann den Download auf das Gerät holt und öffnet, aktiviert ungewollt den Schadcode, die das Kindle-Gerät über die Sicherheitslücke übernehmen und den Bildschirm des Nutzers sperren. Fortan haben die Angreifer vollen Zugriff auf das Gerät und können darüber das verknüpfte Amazon-Konto übernehmen.
Gegen letzteres hilft nur eine Zwei-Faktor-Authentifizierung. Besonders perfide bei dieser Attacke: Da es sich um Bücher handelt, können über Sprache und Inhalt der verseuchten Pseudo-Ware die Opfer sehr gut ausgewählt werden, zum Beispiel nach Herkunft oder Alter.
Amazon hat die Schwachstelle geschlossen
Amazon wurde von Check Point informiert und hat die Lücke inzwischen geschlossen. Das Update 5.13.5 von April 2021 wird bei bestehender Internet-Verbindung automatisch installiert. Check Point stellt die gefundene Schwachstelle außerdem auf der Def-Con-Messe in Las Vegas vor und hat ein kurzes Video zur Demonstration des Hacks erstellt. Yaniv Balmas, Head of Cyber Research bei Check Point Software Technologies GmbH erläutert:
Anzeige
Wir haben in Kindle einige Schwachstellen gefunden, die es einem Angreifer ermöglicht hätten, die volle Kontrolle über das Gerät zu übernehmen. Indem er Kindle-Nutzern ein bösartiges E-Book unterjubelt, hätte ein Angreifer alle auf dem Gerät gespeicherten Informationen stehlen können, von der Anmeldung des Amazon-Kontos hin zu Rechnungsdaten. Kindle-Geräte werden, wie andere IoT-Geräte, oft als harmlos angesehen und als Sicherheitsrisiko vernachlässigt. Unsere Forschung zeigt jedoch, dass jedes elektronische Gerät letztendlich eine Art von Computer ist und als solche sind diese IoT-Geräte für dieselben Angriffe anfällig wie vollwertige Computer. Jeder sollte sich der Cyber-Risiken bewusst sein, die bei der Verwendung von digitalen Geräten bestehen, die mit dem Internet verbunden sind, insbesondere bei so allgegenwärtigen Geräten wie dem Kindle von Amazon.
Was und in diesem Fall am meisten beunruhigte, war der Grad der Opferspezifität. Die Sicherheitslücken ermöglichen es einem Angreifer nämlich ein bestimmtes Publikum anzusprechen. Um ein willkürliches Beispiel zu nennen: Wenn ein Angreifer rumänische Bürger ins Visier nehmen wollte, bräuchte er nur eine kostenlose Fälschung eines dort beliebten E-Books in rumänischer Sprache zu veröffentlichen. Von da an könnte der Hacker ziemlich sicher sein, dass beinahe alle seiner Opfer tatsächlich Rumänen sind – dieser Grad an Spezifität bei Angriffen ist in der Welt der Cyber-Kriminalität und Cyber-Spionage sehr begehrt. In den falschen Händen könnten diese Fähigkeiten ernsthaften Schaden anrichten, was uns große Sorgen bereitet.
Amazon war während unseres koordinierten Offenlegungsprozesses kooperativ und wir sind froh, dass sie einen Patch für diese Sicherheitslücken bereitgestellt haben."
Alle Details zur Schwachstelle beim Amazon Kindle lassen sich in diesem Blog-Beitrag nachlesen.
Anzeige
Vom April 2021 ist eigentlich bereits die Version 5.13.6
Gruß,
Scyllo
Danke für diese Info. Internet war das erste, was ich den Kindle-Readern gesperrt habe. Die Bücher werden über die Kindle-App auf den Rechner geholt, da ja hoffentlich durch Defender und Co geprüft und kommen dann per Calibre auf den Kindle. Auch Updates werden über den Rechner auf den Kindle gespielt. Umständlich aber ein wenig sicherer.
Genau so.