Kindle-Kummer: Neuer Angriffsweg brachte Amazon-Accounts in Gefahr

Das Update Version 5.13.5 der Kindle-Firmware hat hohe sicherheitstechnische Relevanz. Sicherheitsforscher hatten das Unternehmen vor Monaten auf einen schweren Fehler hingewiesen, der die vollständigen Übernahmen von Gerät und Nutzeraccount ermöglichte.

In Amazon Kindle-Readern war eine schwere Lücke, der Account-Zugriff zuließ

Amazon hat bei der Software-Architektur seiner E-Book-Reader einen Fehler gemacht. Wie die Sicherheitsexperten von Checkpoint (CPR) in einem sehr ausführlichen Beitrag erläutern, klaffte in der Kindle-Software eine Lücke, die einen Angriff mit infizierten E-Books möglich gemacht hatte. Dieser Angriffsweg ist sehr attraktiv, da Art und Inhalt der Titel die gezielte Ausrichtung auf bestimmte demografische Gruppen ermöglicht.


Wie CPR ausführt, konnte man nach ausführlicher Überprüfung der Kindle-Software aufzeigen, dass E-Books als Malware mit weitreichenden Möglichkeiten genutzt werden konnten: "Der Angreifer könnte Ihre E-Books gelöscht haben, möglicherweise vollen Zugriff auf Ihr Amazon-Konto erhalten, Ihren Kindle in einen Bot umgewandelt haben, andere Geräte in Ihrem lokalen Netzwerk angreifen und vieles mehr."

Zusätzliche Brisanz erhält das Problem, weil die Veröffentlichung von Inhalten im Kindle Store mit nur sehr wenigen Hürden versehen ist. Für den Upload über den "Self-Publishing"-Service wird lediglich ein Amazon-Konto benötigt, Gebühren erhebt der Konzern erst beim Verkauf von Büchern. "Niemand erwartet, dass man ein Buch herunterlädt, das bösartig ist. Solche Szenarien sind bisher nicht bekannt geworden. Antivirenprogramme haben keine Signaturen für E-Books", so CPR.

Problem nach zwei Monaten behoben

Die Sicherheitsexperten hatten den Fehler nach eigenen Angaben im Februar 2021 an Amazon gemeldet. Das Unternehmen konnte dann mit der Version 5.13.5 der Kindle-Firmware im April 2021 eine Lösung bereitstellen. Sind die Geräte mit dem Netz verbunden, sollte das Update mittlerweile automatisch erfolgt sein.