Amazon Kindle: Check Point fand Schwachstellen

Von Amazon Patch für Kindle-Sicherheitslücken bereitgestellt

[datensicherheit.de, 06.08.2021] Sicherheitsforscher von Check Point melden nach eigenen Angaben „eine gefährliche Sicherheitslücke im berühmten e-book-Lesegerät ,Amazon Kindle‘“. Es sei möglich gewesen, über ein verseuchtes e-book sehr einfach das Gerät selbst und sogar das verknüpfte Amazon-Konto des Nutzers zu übernehmen.

Beliebtes Lesegerät Amazon Kindle könnte durch sehr einfachen Hack übernommen werden

Check Point Software Technologies Ltd. hat demnach eine gefährliche Sicherheitslücke im „Amazon Kindle“ gefunden. „Das beliebte Lesegerät für e-books konnte durch einen sehr einfachen Hack übernommen werden, wodurch die Angreifer sogar in den Besitz des vollständigen Amazon-Kontos gelangt wären, sollte der Nutzer keine Zwei-Faktor-Authentifizierung eingerichtet haben.“ Außerdem hätten alle Daten des Geräts ausgelesen werden können, wozu die Passwörter gehörten.
Die Attacke beginne mit einem verseuchten e-book: Die Hacker versteckten in einem solchen ihre Malware oder „Payload“ und böten es zum Herunterladen an. „Wer darauf drückt, aktiviert ungewollt die schädlichen Befehlszeilen, die das ,Kindle‘-Gerät knacken und den Bildschirm des Nutzers sperren.“
Fortan hätten die Angreifer vollen Zugriff auf das Gerät und könnten darüber das verknüpfte Amazon-Konto übernehmen. Gegen letzteres helfe nur eine Zwei-Faktor-Authentifizierung. Besonders perfide bei dieser Attacke: „Da es sich um Bücher handelt, können über Sprache und Inhalt der verseuchten Pseudo-Ware die Opfer sehr gut ausgewählt werden, zum Beispiel nach Herkunft oder Alter.“

Alle auf dem Amazon Kindle gespeicherten Informationen hätten gestohlen werden können

„Amazon wurde von Check Point informiert und hat die Lücke geschlossen.“ Das Update 5.13.5 vom April 2021 werde bei bestehender Internet-Verbindung automatisch installiert. Check Point stelle die Nachforschung außerdem auf der „Def Con“ in Las Vegas vor und habe ein kurzes Video zur Demonstration dieses Hacks erstellt.
Yaniv Balmas, „Head of Cyber Research“ bei der Check Point Software Technologies GmbH, führt aus: „Wir haben im ,Kindle‘ einige Schwachstellen gefunden, die es einem Angreifer ermöglicht hätten, die volle Kontrolle über das Gerät zu übernehmen. Indem er ,Kindle‘-Nutzern ein bösartiges E-Book unterjubelt, hätte ein Angreifer alle auf dem Gerät gespeicherten Informationen stehlen können, von der Anmeldung des Amazon-Kontos hin zu Rechnungsdaten. ,Kindle‘-Geräte werden, wie andere IoT-Geräte, oft als harmlos angesehen und als Sicherheitsrisiko vernachlässigt.“
Ihre Forschung zeige jedoch, „dass jedes elektronische Gerät letztendlich eine Art von Computer ist und als solche sind diese IoT-Geräte für dieselben Angriffe anfällig wie vollwertige Computer“, warnt Balmas.

Amazon Kindle erlaubt Hackern hohen Grad der Opfer-Spezifität

Jeder sollte sich der Cyber-Risiken bewusst sein, welche bei der Verwendung digitaler, mit dem Internet verbundener Geräten bestünden, insbesondere bei so allgegenwärtigen Geräten wie dem „Kindle“ von Amazon.
„Was uns in diesem Fall am meisten beunruhigte, war der Grad der Opfer-Spezifität. Die Sicherheitslücken ermöglichen es einem Angreifer nämlich ein bestimmtes Publikum anzusprechen. Um ein willkürliches Beispiel zu nennen: Wenn ein Angreifer rumänische Bürger ins Visier nehmen wollte, bräuchte er nur eine kostenlose Fälschung eines dort beliebten E-Books in rumänischer Sprache zu veröffentlichen. Von da an könnte der Hacker ziemlich sicher sein, dass beinahe alle seiner Opfer tatsächlich Rumänen sind – dieser Grad an Spezifität bei Angriffen ist in der Welt der Cyber-Kriminalität und Cyber-Spionage sehr begehrt“, so Balmas. In den falschen Händen könnten diese Fähigkeiten ernsthaften Schaden anrichten, „was uns große Sorgen bereitet“.
Amazon sei während ihres koordinierten Offenlegungsprozesses kooperativ gewesen – „und wir sind froh, dass sie einen Patch für diese Sicherheitslücken bereitgestellt haben“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.06.2021
IoT-Geräte im Gesundheitswesen: Check Point warnt vor Zunahme von Angriffen

Check Point Software Technologies, Ltd. auf YouTube, 06.08.2021
Amazon Kindle Vulnerabilities Could Have Led Threat Actors to Device Control and Information Theft