[[378694]]

2020年10月，以色列網(wǎng)絡(luò)安全公司Realmode研究人員Yogev Bar-On發(fā)現(xiàn)了Amazon Kindle中的3個(gè)安全漏洞，利用這些漏洞可以發(fā)起KindleDrip攻擊，

漏洞利用鏈

漏洞利用鏈中的第一個(gè)漏洞與kindle的“Send to Kindle” 特征相關(guān)，該特征允許用戶通過郵件以附件的形式發(fā)送MOBI格式的電子書到kindle設(shè)備。亞馬遜會(huì)生成一個(gè) @kindle.com 的郵箱地址，用戶可以利用該地址來從用戶同意的郵件地址中發(fā)送電子書。

Bar-On發(fā)現(xiàn)攻擊者可以利用該特征來發(fā)送一個(gè)精心偽造的電子書，以在目標(biāo)設(shè)備上執(zhí)行任意代碼。惡意電子書可以利用Kindle用來分析JPEG XR圖像的庫相關(guān)的漏洞來實(shí)現(xiàn)代碼執(zhí)行。漏洞利用需要用戶點(diǎn)擊含有惡意JPEG XR圖像的電子書中的鏈接，用戶點(diǎn)擊后會(huì)引發(fā)打開web瀏覽器，攻擊者的代碼也會(huì)以提升的權(quán)限執(zhí)行。

研究人員還發(fā)現(xiàn)了一個(gè)可以進(jìn)行權(quán)限提升的漏洞，攻擊者利用該漏洞可以以root權(quán)限執(zhí)行代碼，這樣就可以完全控制設(shè)備了。

攻擊者可以訪問設(shè)備憑證，并使用受害者的信用卡來在kindle商店進(jìn)行購買。攻擊者可以在商店售書并轉(zhuǎn)移到自己的賬戶中。

需要注意的是攻擊者在這樣的攻擊中是無法獲取真是的信用卡號(hào)和口令的，因?yàn)檫@類數(shù)據(jù)是不保存在設(shè)備中的。但是可以獲取用來訪問受害者賬號(hào)的特殊token。

攻擊者只需知道目標(biāo)用戶的郵件地址，并讓受害者點(diǎn)擊惡意電子書中的鏈接。Send to Kindle特征允許用戶從預(yù)統(tǒng)一的郵件地址中發(fā)送電子書，研究人員指出攻擊者很容易就可以使用郵件欺騙服務(wù)。目標(biāo)用戶的@kindle.com郵件地址前綴在很多情況下與用戶的其他郵件地址是相同的。

KindleDrip 攻擊的PoC 視頻參見：https://www.youtube.com/embed/S6dPM1KHyYA

補(bǔ)丁

亞馬遜通過漏洞獎(jiǎng)勵(lì)計(jì)劃向研究人員獎(jiǎng)勵(lì)了1.8萬美元。此外，亞馬遜也于2020年12月發(fā)布了代碼執(zhí)行和權(quán)限提升問題的補(bǔ)丁。亞馬遜還向未認(rèn)證的郵件地址發(fā)送了驗(yàn)證鏈接，向部分郵件化名中加入了一些字符使得其郵件地址很難猜測(cè)。Kindle用戶無需采取任何動(dòng)作。

完整技術(shù)分析參見：https://medium.com/realmodelabs/kindledrip-from-your-kindles-email-address-to-using-your-credit-card-bb93dbfb2a08

本文翻譯自：https://www.securityweek.com/amazon-awards-18000-exploit-allowing-kindle-e-reader-takeover如若轉(zhuǎn)載，請(qǐng)注明原文地址。