Komplette Amazon-Accounts ließen sich über gehackte Kindles kapern
Ein französischer Sicherheitsforscher hat vor erheblichen Risiken beim Herunterladen von E-Books aus inoffiziellen Quellen gewarnt. Denn er konnte demonstrieren, wie sich auf diesem Weg komplette Amazon-Accounts übernehmen ließen.
Dort sucht er gezielt nach Schwachstellen in weitverbreiteten Alltagsgeräten, wie die Sunday Times berichtet. Seine Erkenntnisse zu Amazons Kindle stellte er kürzlich auf der Hacker-Konferenz Black Hat Europe in London vor. Der Vortrag trug den Titel "Don't Judge an Audiobook by Its Cover" und zeigte, wie unterschätzt E-Reader als potenzielle Einfallstore für Cyberangriffe sind.
Ausgangspunkt seiner Untersuchung war der eigene Kindle, der jahrelang unauffällig auf seinem Nachttisch lag. Gerade diese Unauffälligkeit sei gefährlich, so Ricotta. Das Gerät sei dauerhaft eingeschaltet, mit dem Internet verbunden und direkt an ein Amazon-Konto gekoppelt. Darüber ließen sich mit wenigen Klicks Einkäufe tätigen, inklusive Zugriff auf hinterlegte Kreditkartendaten. Gelinge es Angreifern, in das System einzudringen, könnten sie nicht nur persönliche Informationen auslesen, sondern unter Umständen auch andere Geräte im Heimnetzwerk oder weitere mit dem Amazon-Konto verknüpfte Endgeräte angreifen.
Besonders gefährdet seien Nutzer, die E-Books aus Drittquellen per USB auf ihren Kindle übertragen. Selbst ohne aktive Internetverbindung könne Schadsoftware so auf das Gerät gelangen. Ricotta rät daher dringend zur Vorsicht bei Drittanbieter-Webseiten. Amazon wurde über die als "kritisch" eingestuften Schwachstellen informiert und schloss diese inzwischen. Für seine Meldung erhielt Ricotta eine Prämie von 20.000 Dollar, die Thales an wohltätige Organisationen spendete.
Siehe auch:
Nicht vertrauenswürdige Downloads
Valentino Ricotta, Ingenieur und Analyst beim Rüstungs- und Sicherheitskonzern Thales, demonstrierte, wie sich über ein manipuliertes E-Book die vollständige Kontrolle über ein Amazon-Konto übernehmen lässt. Ricotta arbeitet als sogenannter "ethischer Hacker" in der Forschungsabteilung Thalium von Thales in Rennes.Dort sucht er gezielt nach Schwachstellen in weitverbreiteten Alltagsgeräten, wie die Sunday Times berichtet. Seine Erkenntnisse zu Amazons Kindle stellte er kürzlich auf der Hacker-Konferenz Black Hat Europe in London vor. Der Vortrag trug den Titel "Don't Judge an Audiobook by Its Cover" und zeigte, wie unterschätzt E-Reader als potenzielle Einfallstore für Cyberangriffe sind.
Ausgangspunkt seiner Untersuchung war der eigene Kindle, der jahrelang unauffällig auf seinem Nachttisch lag. Gerade diese Unauffälligkeit sei gefährlich, so Ricotta. Das Gerät sei dauerhaft eingeschaltet, mit dem Internet verbunden und direkt an ein Amazon-Konto gekoppelt. Darüber ließen sich mit wenigen Klicks Einkäufe tätigen, inklusive Zugriff auf hinterlegte Kreditkartendaten. Gelinge es Angreifern, in das System einzudringen, könnten sie nicht nur persönliche Informationen auslesen, sondern unter Umständen auch andere Geräte im Heimnetzwerk oder weitere mit dem Amazon-Konto verknüpfte Endgeräte angreifen.
Bug Bounty gespendet
Konkret nutzte Ricotta Schwächen in der Kindle-Software aus, die eigentlich Audiodateien analysiert, obwohl viele Modelle selbst keine Hörbücher abspielen können. Zusätzlich fand er eine Sicherheitslücke in der Bildschirmtastatur. Über diese Kombination gelang es ihm, schädlichen Code einzuschleusen und sogenannte Session-Cookies abzugreifen, mit denen sich der Zugang zum Amazon-Konto übernehmen lässt.Besonders gefährdet seien Nutzer, die E-Books aus Drittquellen per USB auf ihren Kindle übertragen. Selbst ohne aktive Internetverbindung könne Schadsoftware so auf das Gerät gelangen. Ricotta rät daher dringend zur Vorsicht bei Drittanbieter-Webseiten. Amazon wurde über die als "kritisch" eingestuften Schwachstellen informiert und schloss diese inzwischen. Für seine Meldung erhielt Ricotta eine Prämie von 20.000 Dollar, die Thales an wohltätige Organisationen spendete.
Zusammenfassung
- Ein Sicherheitsforscher entdeckte gravierende Schwachstellen bei Kindle-Geräten
- Manipulierte E-Books konnten komplette Amazon-Konten übernehmen
- Dauerhaft eingeschaltete E-Reader bieten gefährlichen Zugang zu Kontodaten
- Kombination von Sicherheitslücken in Audio-Analyse und Bildschirmtastatur
- Besonders gefährdet waren Nutzer beim Übertragen von E-Books aus Drittquellen
- Amazon hat die als kritisch eingestuften Schwachstellen inzwischen behoben
- Entdecker erhielt 20.000 Dollar Prämie, die an wohltätige Zwecke gespendet wurde
Siehe auch:
Themen:
Amazons Aktienkurs in Euro
Videos zum Thema Amazon
-
Magcubic HY300F: Ballförmiger Beamer ist für den WM-Spaß ungeeignet
-
Wanbo Togo Pro: Gimbal-Beamer für Urlaub und Co. im Test
-
Ctone Matrix Mini M2: Mini-PC mit viel Speicher fürs Geld im Test
-
Forza Horizon 6: Fehlermeldung beim ersten Start - Was nun zu tun ist
-
Klein, günstig aber mit Schwächen: Magcubic Mini-Beamer im Test
Beiträge aus dem Forum
Interessante Links
Neue Nachrichten
- EU-Kommission lässt Initiative zum Schutz älterer Videospiele abblitzen
- Wallpaper Engine: Hintergründe gefährden Steam-Gamer durch Malware
- iPhone Air 2: Apple behebt die zwei größten Mankos des Vorgängers
- 24 Mrd. Datensätze offen im Netz: Riesiges Passwort-Archiv entdeckt
- Top-Tarif im O2-Netz: Jetzt 25 GB 5G dauerhaft für nur 4,99 Euro
- Microsoft Edge erlaubt bald den Login mit einem Google-Konto
- Tim Cook warnt: Preise für Apple-Produkte werden bald deutlich steigen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen