חולשות אבטחה חמורות התגלו בקינדל

ההאקרים מצאו שיבוש שהיה קיים בקינדל ודרכו החדירו נוזקות שאפשרו להם שליטה מלאה על מכשיר הקינדל של הקורבן וגניבת פרטי החשבון שלו באמזון ● החולשות התגלו על ידי צ'ק פוינט - ותוקנו

חולשות אבטחה בקינדל. צילום אילוסטרציה: BigStock

חוקרים מצ'ק פוינט פרסמו באחרונה כי גילו חולשות אבטחה חמורות בקינדל – פלטפורמת הקריאה בדיגיטל הפופולרית בעולם ואחד ממוצרי הדגל של אמזון. החולשות תוקנו על ידי אמזון לאחר עבודה משותפת עם חוקרי ענקית האבטחה הישראלית.

החולשות אפשרו לתוקפים להשיג שליטה מלאה על מכשיר הקינדל וכן לגנוב את המפתחות לחשבונות של הקורבנות באמזון. הן הופעלו על ידי לחיצה על ספר אלקטרוני, שעליו הותקנה נוזקה. הקורבנות שלחצו על הספר האלקטרוני – המנגנון הרגיל של קינדל – לא היו יכולים לראות את הנעשה "מאחורי הקלעים" ואת ההשתלטות על המכשיר. כך, ספר אלקטרוני לבדו עלול היה להוביל להשתלטות על המכשיר, המידע שבתוכו וכן על חשבונות האמזון המקוריים של הקורבנות.

יצוין שהחולשות עבדה על בסיס שיבוש שהיה קיים במנגנון הזיכרון של קינדל בזמן עיבוד הספר האלקטרוני, עוד לפני הצגתו למשתמש. באמצעות ניצול הבעיה הזו, תוך עקיפה של מערכת האבטחה במכשיר, החולשות אפשרו להריץ מרחוק קוד, שהיה מאפשר שליטה מלאה על המכשיר ועל המידע הקיים בו.

התיקון מותקן בכל מכשירי הקינדל

לדברי איתי כהן, חוקר אבטחת מידע בכיר בצ'ק פוינט, "קינדל, כמו שאר מוצרי האינטרנט של הדברים, נחשב – שלא בצדק – כחלק מסל מוצרים שלא דורשים רמת אבטחה גבוהה. אולם, מחקר כגון זה מציג את הסכנות הקיימות בהם". הוא אמר כי "כל מכשיר המחובר לרשת ושמכיל מידע הוא מטרה פוטנציאלית של מתקפות סייבר. מתקפות סייבר אפקטיביות מכוונות למטרות ספציפיות, ובמקרה כאן – היכולת לייצר ספר אלקטרוני שימשוך את תשומת הלב של המטרה, מה שהיה מוביל בנקל להורדה של הספר לקינדל ויחד אתו את הנוזקה, שמאפשרת השתלטות על המכשיר והמידע".

כהן הסביר כי "כך, שפה מסוימת וכותרת מסוימת יכולות לייצר עניין שהיה מוביל להתנעת התקיפה. אמזון הבינה במהרה את חומרת החולשה ועבדה איתנו על מנת לתקן אותה באופן אוטומטי".

התיקון של אמזון (מספר 5.13.5) מותקן אוטומטית על מכשירי הקינדל ברחבי העולם, ומהמשתמשים לא נדרש לעשות דבר כדי להתגונן מפני החולשה.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים