וואלה!
וואלה!
וואלה!
וואלה!

וואלה! האתר המוביל בישראל - עדכונים מסביב לשעון

צ'ק פוינט: פרצת אבטחה בקינדל של אמזון אפשרה השתלטות על המכשיר

6.8.2021 / 13:00

חברת האבטחה הישראלית חשפה כי החולשה, שלא אפשרה למשתמש לדעת כי המכשיר נפרץ, הייתה מופעלת על ידי לחיצה על ספר אלקטרוני עליו מותקנת נוזקה; בחברה תיקנו את הפרצה באופן אוטומטי לפני הפרסום

אמזון kindle. ShutterStock
קינדל של אמזון/ShutterStock

חברת אבטחת הסייבר הישראלית צ'ק פוינט הודיעה היום (שישי) כי איתרה חולשות אבטחה חמורות באחד ממוצרי הדגל של אמזון - קינדל (Kindle) - שאפשרו לתוקפים להשיג שליטה מלאה על המכשיר וכן לגנוב את המפתחות לחשבונות אמזון של הקורבנות.

החולשה הייתה מופעלת על ידי לחיצה על ספר אלקטרוני עליו מותקנת נוזקה. הקורבנות שלוחצים על הספר האלקטרוני - המנגנון הרגיל של קינדל, לא היו יכולים לראות את הנעשה "מאחורי הקלעים" ואת ההשתלטות על המכשיר. במילים פשוטות, ספר אלקטרוני לבדו יכול היה להוביל להשתלטות על המכשיר, המידע שבתוכו וכן על חשבונות אמזון המקוריים של הקורבנות.

אמזון kindle. ShutterStock
לא היו יכולים לראות את הנעשה "מאחורי הקלעים". קינדל/ShutterStock

החולשה עבדה על בסיס שיבוש שהיה קיים במנגנון הזיכרון של קינדל, בזמן עיבוד הספר האלקטרוני לפני הצגתו למשתמש. באמצעות ניצול הבעיה הזו, תוך עקיפה של מערכת האבטחה במכשיר, החולשה אפשרה להריץ מרחוק קוד שהיה מאפשר שליטה מלאה על המכשיר ועל המידע הקיים בו.

"קינדל, כמו מוצרי שאר מוצרי ה-IoT (האינטרנט של הדברים), נחשבים שלא בצדק כמוצרים שלא דורשים רמת אבטחה גבוהה", אומר איתי כהן, חוקר בכיר בצ'ק פוינט. "אולם, מחקר כגון זה מציג את הסכנות הקיימות בהם. כל מכשיר אלקטרוני המחובר לרשת, ומכיל מידע, הוא מטרה פוטנציאלית של מתקפות סייבר".

sheen-shitof

עוד בוואלה!

קק"ל מעודדת לימודי אקלים באמצעות מלגות לסטודנטים צעירים

בשיתוף קק"ל
אמזון. AP
אחד ממוצרי הדגל של אמזון/AP

"מתקפות סייבר אפקטיביות מכוונות למטרות ספציפיות, ובמקרה כאן היכולת לייצר ספר אלקטרוני שימשוך את תשומת הלב של המטרה - בנקל היה מוביל להורדה של הספר לקינדל ואיתו את הנוזקה שמאפשרת השתלטות על המכשיר והמידע", הסביר כהן, והוסיף: "כך שפה מסוימת, כותרת מסוימת, יכולים לייצר עניין שהיה מוביל להתנעת התקיפה. אנו שמחים על כך שאמזון הבינו במהרה את חומרת החולשה ועבדו איתנו לתקנה באופן אוטומטי".

המחקר שחשפו בצ'ק פוינט הוצג במסגרת כנס DEF CON בלאס וגאס, הנחשב לאחד החשובים בעולם אבטחת המידע. לדברי החברה, הפרצות בקינדל, שמשמש כפלטפורמת הקריאה הפופולרית בעולם, תוקנו באופן אוומטי על ידי אמזון לאחר עבודה משותפת עם מחלקת האבטחה של החברה, והמשתמשים אינם צריכים לעשות דבר.

  • עוד באותו נושא:
  • אמזון

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    3
    walla_ssr_page_has_been_loaded_successfully