Malafide e-books kraken Amazon-accounts

Gebruikersaccounts bij e-commercereus Amazon waren te kapen via malafide metadata in e-books. Dit gat in de Kindle e-bookbibliotheek is 10 maanden geleden al aan het bedrijf gemeld.

Het gaat om kwaadaardige code die zit verwerkt in speciaal geprepareerde e-books. Die instructies worden uitgevoerd zodra een gebruiker zo’n malafide e-book opent via de Kindle Library-webpagina. De cookies voor het Amazon-account van het slachtoffer worden dan gekaapt door de aanvaller. Het gevaar schuilt vooral in e-books afkomstig uit onbetrouwbare bronnen, stelt de ontdekker.

Dichten en per ongeluk heropenen

Security-onderzoeker Benjamin Daniel Mussler heeft deze kwetsbaarheid enkele dagen geleden geopenbaard, nadat hij lange tijd geen reactie had gekregen van Amazon. De openbaarmaking was compleet met niet-kwaadaardige demonstratiecode (proof-of-concept, PoC). Vervolgens heeft Amazon het gat binnen enkele gefixt, wat de tweede maal is. Het bedrijf had het gat namelijk al eerder gedicht, maar het per ongeluk heropend.

Die heropening is toen door de Duitse ontdekker opnieuw stilletjes gemeld aan Amazon. De kwetsbaarheid is oorspronkelijk eind oktober vorig jaar ontdekt, halverwege november aan Amazon gemeld, en vervolgens begin december gefixt. Bij het redesign voor de Manage Your Kindle-webpagina voor de gelijknamige e-bookreader van Amazon is het lek echter weer geopend. Dat is ergens eerder dit jaar gedaan. Mussler heeft zijn vondst in juli wéér gemeld bij Amazon, waarna hij echter geen reactie kreeg, schrijft ZDnet.

Niet alleen Amazon

De kwetsbaarheid is gister (16 september) opnieuw gedicht, meldt Business Insider. Overigens zonder dat de ontdekker is ingelicht. Mussler merkt in zijn blogpost nog op dat dit zogeheten XSS-lek (cross-site scripting) niet alleen het Kindle-webbeheer van Amazon raakt. Ook de open source e-booksoftware Calibre was kwetsbaar. De maker van die gratis software heeft het gat binnen een dag na melding gedicht.

Deel dit artikel
Voeg toe aan favorieten