Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Check Point Research trouve une vulnérabilité dans Amazon Kindle

août 2021 par Check Point Research Team

Depuis 2007, Amazon a vendu des dizaines de millions de Kindle, un chiffre impressionnant. Mais cela signifie aussi que des dizaines de millions de personnes auraient pu être piratées grâce à un bug logiciel dans ces mêmes Kindle. Leur appareil pourrait être transformé en robot ou leurs réseaux locaux privés pourraient être compromis, et peut-être même que les informations de leurs comptes de facturation pourraient être volées.

Le moyen le plus simple d’accéder à distance au Kindle d’un utilisateur c’est d’utiliser un e-book. Un livre malveillant peut ainsi être publié et mis à disposition en libre accès dans n’importe quelle bibliothèque virtuelle, y compris sur le Kindle Store, via le service « auto-édition », ou être envoyé directement sur l’appareil de l’utilisateur final via le service « envoyer sur le kindle » d’Amazon.

Si jamais l’utilisateur ouvre ce livre malveillant sur un Kindle, un morceau de code caché peut être exécuté avec des droits d’administrateur. A partir de ce stade, l’utilisateur peut considérer qu’il a perdu le contrôle de son e-reader. Le code malveillant étant exécuté avec les droits de l’utilisateur root, la simple ouverture d’un tel livre aurait pu entraîner des dommages irréparables. L’attaquant aurait pu supprimer les e-books de l’utilisateur, obtenir potentiellement un accès complet à son compte Amazon, convertir son Kindle en robot, attaquer d’autres appareils de son réseau local, etc.

Les problèmes que Check Point a découvert ont été signalés à Amazon en février 2021 et corrigés dans la version 5.13.5 du micrologiciel du Kindle en avril 2021. Le micrologiciel corrigé sera installé automatiquement sur les appareils connectés à Internet.


Voir les articles précédents

    

Voir les articles suivants