abonneren

Malafide e-books kraken Amazon-accounts

Gebruikersaccounts bij e-commercereus Amazon waren te kapen via malafide metadata in e-books. Dit gat in de Kindle e-bookbibliotheek is 10 maanden geleden al aan het bedrijf gemeld.

Het gaat om kwaadaardige code die zit verwerkt in speciaal geprepareerde e-books. Die instructies worden uitgevoerd zodra een gebruiker zo’n malafide e-book opent via de Kindle Library-webpagina. De cookies voor het Amazon-account van het slachtoffer worden dan gekaapt door de aanvaller. Het gevaar schuilt vooral in e-books afkomstig uit onbetrouwbare bronnen, stelt de ontdekker.

Dichten en per ongeluk heropenen

Security-onderzoeker Benjamin Daniel Mussler heeft deze kwetsbaarheid enkele dagen geleden geopenbaard, nadat hij lange tijd geen reactie had gekregen van Amazon. De openbaarmaking was compleet met niet-kwaadaardige demonstratiecode (proof-of-concept, PoC). Vervolgens heeft Amazon het gat binnen enkele gefixt, wat de tweede maal is. Het bedrijf had het gat namelijk al eerder gedicht, maar het per ongeluk heropend.

Die heropening is toen door de Duitse ontdekker opnieuw stilletjes gemeld aan Amazon. De kwetsbaarheid is oorspronkelijk eind oktober vorig jaar ontdekt, halverwege november aan Amazon gemeld, en vervolgens begin december gefixt. Bij het redesign voor de Manage Your Kindle-webpagina voor de gelijknamige e-bookreader van Amazon is het lek echter weer geopend. Dat is ergens eerder dit jaar gedaan. Mussler heeft zijn vondst in juli wéér gemeld bij Amazon, waarna hij echter geen reactie kreeg, schrijft ZDnet.

Niet alleen Amazon

De kwetsbaarheid is gister (16 september) opnieuw gedicht, meldt Business Insider. Overigens zonder dat de ontdekker is ingelicht. Mussler merkt in zijn blogpost nog op dat dit zogeheten XSS-lek (cross-site scripting) niet alleen het Kindle-webbeheer van Amazon raakt. Ook de open source e-booksoftware Calibre was kwetsbaar. De maker van die gratis software heeft het gat binnen een dag na melding gedicht.

Geschreven door: Jasper Bakker op

Category: Nieuws, Security

Tags: amazon, Kindle, E-books, accountkaping, xss

Nieuws headlines

donderdag 25 januari

dinsdag 16 januari

Laatste reactie

Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord