von Redaktion IT-A…
Lesezeit
1 Minute
Lücke in Amazon Kindle erlaubte Kontoklau
Das beliebte Lesegerät für E-Books Amazon Kindle konnte durch einen sehr einfachen Hack übernommen werden. Dadurch war für die Angreifer der Weg zur vollständigen Übernahme des Amazon-Kontos frei, sollte der Nutzer keine Zwei-Faktor-Authentifizierung eingerichtet haben. Ausgangspunkt der Attacke war ein potenziell verseuchtes E-Book.
Check Point Software fand eine gefährliche Sicherheitslücke in Amazon Kindle. Das beliebte Lesegerät für E-Books ließ sich durch einen einfachen Hack übernehmen, wodurch die Angreifer sogar in den Besitz des vollständigen Amazon-Kontos gelangt wären. Außerdem konnten alle Daten des Geräts ausgelesen werden, wozu die Passwörter gehören. Seit der Einführung im Jahr 2007 wurden wahrscheinlich viele Millionen der Kindle-Geräte verkauft.
Die potenziellen Angreifer hätten hierfür in einem verseuchten E-Book ihre Malware oder Payload verstecken müssen, und es zum Herunterladen anbieten. Wer darauf drückt, aktiviert ungewollt die schädlichen Befehlszeilen, die das Kindle-Gerät knacken und den Bildschirm des Nutzers sperren. Fortan haben die Angreifer vollen Zugriff auf das Gerät und können darüber das verknüpfte Amazon-Konto übernehmen. Gegen letzteres hilft nur eine Zwei-Faktor-Authentifizierung. Besonders perfide bei dieser Attacke: Da es sich um Bücher handelt, können über Sprache und Inhalt der verseuchten Pseudo-Ware die Opfer sehr gut ausgewählt werden, zum Beispiel nach Herkunft oder Alter.
Amazon wurde von Check Point informiert und hat die Lücke geschlossen. Das Update 5.13.5 von April 2021 wird bei bestehender Internet-Verbindung automatisch installiert. Check Point stellt die Nachforschung außerdem auf der Def-Con-Messe in Las Vegas vor und hat ein kurzes Video zur Demonstration des Hacks erstellt [1].
dr
[1] https://www.youtube.com/watch?v=BtpGVa7FaXo
Die potenziellen Angreifer hätten hierfür in einem verseuchten E-Book ihre Malware oder Payload verstecken müssen, und es zum Herunterladen anbieten. Wer darauf drückt, aktiviert ungewollt die schädlichen Befehlszeilen, die das Kindle-Gerät knacken und den Bildschirm des Nutzers sperren. Fortan haben die Angreifer vollen Zugriff auf das Gerät und können darüber das verknüpfte Amazon-Konto übernehmen. Gegen letzteres hilft nur eine Zwei-Faktor-Authentifizierung. Besonders perfide bei dieser Attacke: Da es sich um Bücher handelt, können über Sprache und Inhalt der verseuchten Pseudo-Ware die Opfer sehr gut ausgewählt werden, zum Beispiel nach Herkunft oder Alter.
Amazon wurde von Check Point informiert und hat die Lücke geschlossen. Das Update 5.13.5 von April 2021 wird bei bestehender Internet-Verbindung automatisch installiert. Check Point stellt die Nachforschung außerdem auf der Def-Con-Messe in Las Vegas vor und hat ein kurzes Video zur Demonstration des Hacks erstellt [1].
dr
[1] https://www.youtube.com/watch?v=BtpGVa7FaXo
