Kindle电子书出现可以入侵Amazon账户的漏洞

TechCrunch  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

现在出现了一个能够在电子书的标题文本运行脚本的恶性漏洞,有可能危害用户Amazon账户的安全。这个漏洞曾经在去年十月被修复,但现在又死灰复燃了。黑客可以利用这个漏洞直接在电子书文件中嵌入程序,这种程序可以在Amazon的Kindle工具检查电子书的时候自动运行。该漏洞在本文成稿时似乎已经修复了,不过它仍然可能会对一些应用和其他网站造成影响。

这个漏洞影响的是Kindle电子书商店的“管理你的内容及设备”和“管理你的Kindle”等页面。

大家可以在 这里 阅读这个漏洞的详细解释,不过简单来说它就是在书籍标题注入一行带有 ”” 的代码。当上面提到的页面开始检查这些恶意电子书的时候,其中嵌入的脚本就会自动运行,读取并恶意篡改当前的cookies内容。

虽然大部分正版的Kindle电子书都是安全的,但是黑客们可以在盗版电纸书上做手脚。安全研究人员Benjamin Daniel Mussler写道:

用户最容易遭到入侵的场景是先在非法的渠道获取电子书(注:盗版电纸书),然后使用Amazon的“发送到Kindle”服务将书籍发送到他们的Kindle设备。对于盗版书籍的供应商来说,这样的漏洞为他们提供了获取活跃Amazon账户的机会。

Kindle使用的.mobi格式充斥着大量的盗版书籍。该漏洞没有影响到Amazon专用的.azw格式。Mussler还提供了一个测试文件,它可以让你的Kindle账户页面出现大量的弹出窗口。现在这个测试文件视乎已经无效(我自己测试了两次),不过之前有出现多个截图表明这个漏洞是存在的。

虽然这个漏洞到目前位置已经基本排除了危险,但它还是可能会影响到其他相关的服务或应用。所以大家请避免下载盗版或自制的电子书。(译:consideRay)

信息来自 TheDigitalReader

Researchers Create A Kindle eBook That Can Hack Your Amazon Account

随意打赏

提交建议
微信扫一扫,分享给好友吧。