Check Point Researchは、Amazon Kindleにセキュリティ上の欠陥を発見しました。これは、単一の悪意のある電子書籍を使用してハッキングされる可能性があることを確認しています。 研究者は、これらの脆弱性が特定の人口統計のターゲティングを可能にすることを恐れていました。

世界的なサイバーセキュリティソリューションの大手プロバイダーであるCheckPoint Researchは、世界で最も人気のある電子書籍リーダーであるAmazonKindleにセキュリティ上の欠陥を発見しました。

ハッキングされた場合、サイバー犯罪者がユーザーのKindleを完全に制御し、デバイスのトークンや、銀行の詳細など、デバイスに保存されているその他の機密情報を盗むことを許可していたでしょう。

You Might Also Like
インフォグラフィックを使用して糖尿病の認識を広める方法に関する14のヒント
インフォグラフィックを使用して糖尿病の認識を広める方法に関する14のヒント
MSI RTX 5060 TIカスタムデザインはオンラインでリークします
MSI RTX 5060 TIカスタムデザインはオンラインでリークします
ランブルバースで友達を追加するには?
ランブルバースで友達を追加するには?

この脆弱性は、Kindleデバイスに悪意のある電子書籍をダウンロードすることによって引き起こされることに言及する価値があります。

「Kindleには、サイバー犯罪者がデバイスを完全に制御できる脆弱性が見つかりました。 Kindleユーザーに悪意のある電子書籍を送信することで、Amazonアカウントの資格情報から銀行情報まで、Kindleに保存されているあらゆる情報を盗む可能性があります」とCheck PointSoftwareの南ラテンアメリカ地域のカントリーマネージャーであるGeryCoronelは警告します。

彼はまた、「Kindleは、他のIoTデバイスと同様に、通常は無害であると見なされ、セキュリティリスクとは見なされません。 しかし、私たちの調査によると、どの電子機器も攻撃に対して脆弱であることがわかっています。 コンピューターに接続されたアイテム、特にAmazonのKindleのようにユビキタスなものを使用することのサイバーリスクを誰もが知っておく必要があります。」

2007年以来、Amazonは数千万のKindleを販売しており、その多くのユーザーはソフトウェアのバグによって侵害された可能性があります。 これらのデバイスはボットになったり、プライベートローカルネットワークを危険にさらしたり、請求先アカウント情報を盗まれたりする可能性があります。

Amazon Kindle:世界で最も人気のある電子書籍リーダー、サイバー犯罪者の切望された獲物
Amazon Kindle:世界で最も人気のある電子書籍リーダー、サイバー犯罪者の切望された獲物

ユーザーのKindleにリモートアクセスする最も簡単な方法は、電子書籍を使用することです。 実際、悪意のある本を出版して、Kindleストアを含む任意の仮想ライブラリで「自費出版」サービスを介して無料でアクセスできるようにしたり、Amazonの「出荷先」を通じてエンドユーザーのデバイスに直接送信したりすることができます。 Kindle」サービス。

このハッキングには、悪意のある電子ブックを被害者に送信することが含まれます。被害者は、開かれた場合、マルウェアチェーンを開始します。 エクスプロイトを実行するために、これ以上のプロンプトや対話は必要ありません。

Check Point Researchは、これらの1つがKindleに対するマルウェアになり、ユーザーの電子書籍の削除やKindleが悪意のあるボットになり、他の攻撃を可能にするなど、さまざまな結果を招く可能性があることを示しています。ユーザーのローカルネットワーク上のデバイス。

言語に基づいて人口統計をターゲティングする

セキュリティ上の欠陥により、サイバー犯罪者があらゆる種類の攻撃に対して非常に特定の対象者を標的にすることが非常に簡単になる可能性があります。これは、CPR研究者にとって大きな懸念事項です。

たとえば、攻撃者が特定のグループの人々を標的にしたい場合、または特定の人口統計上の場所にいる場合、非常に正確なサイバー攻撃を調整するために、関連する電子書籍で人気のある電子書籍を選択するだけで済みます。

CPRはすでに2021年2月にその調査結果をAmazonに開示しました。同社は2021年4月にKindleファームウェアアップデートのバージョン5.13.5で修正を展開しました。パッチが適用されたファームウェアはインターネットに接続されたデバイスに自動的にインストールされます。

「この場合、私たちを最も驚かせたのは、潜在的に標的にされた犠牲者の正確さの程度でした。 これらのセキュリティの脆弱性により、非常に特定の対象者をターゲットにすることが可能になります。 ランダムな例を使用すると、サイバー犯罪者がルーマニアの市民を標的にした場合、彼がしなければならないのは、ルーマニア語で無料で人気のある電子書籍を発行することだけです」とコロネルは指摘します。

そして彼は、「そこから、彼の犠牲者全員が確かにこの国から来ていると確信することができました。サイバー犯罪とサイバースパイの世界では、攻撃能力のその程度の特異性が非常に求められています。」

「悪意を持って、これらの攻撃的な能力は深刻な損害を引き起こす可能性があり、それは私たちにとって大きな懸念でした。 繰り返しになりますが、これらのタイプのセキュリティの脆弱性を見つけて、「実際の」攻撃者がそれらを悪用する前に確実に軽減できることを実証しました」とスペシャリストは完了します。

  象徴的なSpectrumの背後にいる発明者であり起業家でもあるSirCliveSinclairが亡くなりました