Las fallas de Amazon Kindle podrían haber permitido a los atacantes controlar el dispositivo


Ahora parcheado por Amazon, las vulnerabilidades de seguridad encontradas por Check Level habrían dado a los atacantes acceso a un dispositivo Kindle y sus datos almacenados.

kindle.jpg

Imagen: Amazon

Los propietarios de Amazon Kindle podrían haberse expuesto a un ataque de control remoto simplemente abriendo el libro electrónico equivocado. en un informe publicado el viernes, el proveedor de ciberseguridad Check Point dijo que descubrió agujeros de seguridad en el Kindle que habrían ayudado a un ciberdelincuente a tomar el manage overall del dispositivo, lo que podría llevar al robo de información confidencial, incluido el token del dispositivo de Amazon, una clave única utilizada para enrutar mensajes y otros notificaciones.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

En febrero de 2021, Test Point alertó a Amazon sobre sus hallazgos, lo que provocó que la compañía implementara una solución en la versión 5.13.5 de la actualización del firmware del Kindle en abril de 2021. La actualización se instala automáticamente en los dispositivos Kindle cuando se conecta a World wide web.

«Hemos lanzado actualizaciones automáticas de computer software para solucionar estos problemas para todos los modelos de Amazon Kindle introducidos después de 2012», dijo un portavoz de Amazon a TechRepublic. «Apreciamos el trabajo de los investigadores de seguridad independientes que ayudan a llamar nuestra atención sobre posibles problemas».

Para verificar la versión de firmware en su Kindle, vaya a Configuración, seleccione Menú y luego toque Información del dispositivo. Examine Stage también aconseja a los usuarios de Kindle que apliquen el sentido común y no abran ni descarguen ningún libro electrónico que parezca sospechoso o provenga de fuentes no confiables.

Antes de que Amazon corrigiera las fallas de seguridad, un usuario de Kindle podría haber desencadenado el exploit sin saberlo simplemente abriendo un libro electrónico malicioso enviado por el atacante, dijo Check out Position. No habría sido necesaria ninguna otra acción. Con las vulnerabilidades explotadas, un atacante podría haber obtenido el control remoto para eliminar los libros electrónicos de un usuario e incluso convertir el Kindle en un bot malicioso para atacar otros dispositivos en la pink del usuario.

Al utilizar un libro electrónico malintencionado, el atacante también podría haberse dirigido a una audiencia específica. En un ejemplo citado por Yaniv Balmas, jefe de investigación cibernética de Look at Stage Software program, un ciberdelincuente que quisiera apuntar a ciudadanos rumanos simplemente tendría que publicar algunos libros electrónicos populares y gratuitos escritos en rumano. El atacante estaría entonces bastante seguro de que las víctimas potenciales serían todas rumanas, un tipo de conocimiento que les ayudaría a lanzar más campañas maliciosas contra estos usuarios.

«Kindle, al igual que otros dispositivos de IoT, a menudo se considera inofensivo y se ignora como riesgos de seguridad», dijo Balmas. «Pero nuestra investigación demuestra que cualquier dispositivo electrónico, al final del día, es algún tipo de computadora. Y como tal, estos dispositivos de IoT son vulnerables a los mismos ataques que las computadoras. Todos deben ser conscientes de los riesgos cibernéticos al usar cualquier cosa conectado a la computadora, especialmente algo tan omnipresente como el Kindle de Amazon «.

Nota del editor: este artículo se ha actualizado con información y comentarios adicionales.

Ver también



Enlace a la noticia initial