E-book como malware

A exploração envolve o envio de um e-book malicioso à vítima que precisaria simplesmente abri-lo para iniciar o ataque. Nenhuma outra indicação ou interação seria necessária em nome da vítima para executar essa exploração. A CPR comprovou que um e-book teria sido usado como malware contra o Kindle, levando a uma série de consequências como um atacante poder excluir os e-books de um usuário, ou potencialmente obter acesso total à sua conta da Amazon, além de converter o Kindle em um bot malicioso de modo a atacar outros dispositivos na rede local do usuário.

Segmentação de dados demográficos por idioma

Segundo a equipe da CPR, as falhas de segurança permitiriam ainda que um cibercriminoso atingisse um público muito específico. Por exemplo, se um atacante quisesse alcançar um grupo em particular de pessoas ou demografia, poderia facilmente selecionar um e-book popular no idioma ou dialeto correlato para orquestrar um ciberataque altamente direcionado.

Divulgação coordenada

A Check Point Software divulgou suas descobertas à Amazon em fevereiro de 2021. A Amazon implementou uma correção na versão 5.13.5 da atualização do firmware do Kindle em abril de 2021. O firmware corrigido é instalado automaticamente em dispositivos conectados à Internet. “A Amazon cooperou em todo o nosso processo de divulgação coordenado de modo que puderam implementar um patch para esses problemas de segurança”, ressalta Yaniv Balmas, head de Pesquisa Cibernética da Check Point Software Technologies.

“Encontramos vulnerabilidades no Kindle que teriam permitido que um cibercriminoso assumisse o controle total do dispositivo. Ao enviar aos usuários do Kindle um único e-book malicioso, seria possível roubar qualquer informação armazenada no dispositivo, desde credenciais de conta da Amazon até informações de cobrança. O Kindle, assim como outros dispositivos IoT, costumam ser considerados ineficazes e ignorado como riscos à segurança”, informa Balmas.

De acordo com Balmas, a pesquisa da CPR demonstra que qualquer dispositivo eletrônico é alguma forma de computador e, como tal, esses dispositivos IoT são vulneráveis aos mesmos ataques destinados aos computadores. “Todos devem estar cientes dos riscos cibernéticos de usar qualquer dispositivo conectado ao computador, especialmente algo tão onipresente como o Kindle da Amazon.”

Neste caso, o que mais surpreendeu a equipe da CPR foi o grau de especificidade da vítima em que a exploração poderia ter ocorrido. Naturalmente, as vulnerabilidades de segurança permitiriam que um atacante alcançasse um público muito específico. “Para usar um exemplo aleatório, se um cibercriminoso quisesse atingir cidadãos romenos, tudo o que eles precisariam fazer seria publicar um e-book gratuito e popular no idioma romeno. A partir daí, o atacante teria certeza de que todas as suas vítimas seriam, de fato, romenos; e esse grau de especificidade nas capacidades de ataque ofensivo é muito procurado no mundo do cibercrime e da espionagem cibernética”, explica Balmas.

Em vídeo elaborado pela CPR, os pesquisadores mostram como se dá o ataque que explora as vulnerabilidades do Amazon Kindle via um e-book malicioso: https://youtu.be/BtpGVa7FaXo