[datensicherheit.de, 06.08.2021] Sicherheitsforscher von Check Point melden nach eigenen Angaben „eine gefährliche Sicherheitslücke im berühmten e-book-Lesegerät ,Amazon Kindle‘“. Es sei möglich gewesen, über ein verseuchtes e-book sehr einfach das Gerät selbst und sogar das verknüpfte Amazon-Konto des Nutzers zu übernehmen.

Beliebtes Lesegerät Amazon Kindle könnte durch sehr einfachen Hack übernommen werden

Check Point Software Technologies Ltd. hat demnach eine gefährliche Sicherheitslücke im „Amazon Kindle“ gefunden. „Das beliebte Lesegerät für e-books konnte durch einen sehr einfachen Hack übernommen werden, wodurch die Angreifer sogar in den Besitz des vollständigen Amazon-Kontos gelangt wären, sollte der Nutzer keine Zwei-Faktor-Authentifizierung eingerichtet haben.“ Außerdem hätten alle Daten des Geräts ausgelesen werden können, wozu die Passwörter gehörten.
Die Attacke beginne mit einem verseuchten e-book: Die Hacker versteckten in einem solchen ihre Malware oder „Payload“ und böten es zum Herunterladen an. „Wer darauf drückt, aktiviert ungewollt die schädlichen Befehlszeilen, die das ,Kindle‘-Gerät knacken und den Bildschirm des Nutzers sperren.“
Fortan hätten die Angreifer vollen Zugriff auf das Gerät und könnten darüber das verknüpfte Amazon-Konto übernehmen. Gegen letzteres helfe nur eine Zwei-Faktor-Authentifizierung. Besonders perfide bei dieser Attacke: „Da es sich um Bücher handelt, können über Sprache und Inhalt der verseuchten Pseudo-Ware die Opfer sehr gut ausgewählt werden, zum Beispiel nach Herkunft oder Alter.“

Alle auf dem Amazon Kindle gespeicherten Informationen hätten gestohlen werden können

„Amazon wurde von Check Point informiert und hat die Lücke geschlossen.“ Das Update 5.13.5 vom April 2021 werde bei bestehender Internet-Verbindung automatisch installiert. Check Point stelle die Nachforschung außerdem auf der „Def Con“ in Las Vegas vor und habe ein kurzes Video zur Demonstration dieses Hacks erstellt.
Yaniv Balmas, „Head of Cyber Research“ bei der Check Point Software Technologies GmbH, führt aus: „Wir haben im ,Kindle‘ einige Schwachstellen gefunden, die es einem Angreifer ermöglicht hätten, die volle Kontrolle über das Gerät zu übernehmen. Indem er ,Kindle‘-Nutzern ein bösartiges E-Book unterjubelt, hätte ein Angreifer alle auf dem Gerät gespeicherten Informationen stehlen können, von der Anmeldung des Amazon-Kontos hin zu Rechnungsdaten. ,Kindle‘-Geräte werden, wie andere IoT-Geräte, oft als harmlos angesehen und als Sicherheitsrisiko vernachlässigt.“
Ihre Forschung zeige jedoch, „dass jedes elektronische Gerät letztendlich eine Art von Computer ist und als solche sind diese IoT-Geräte für dieselben Angriffe anfällig wie vollwertige Computer“, warnt Balmas.

Amazon Kindle erlaubt Hackern hohen Grad der Opfer-Spezifität

Jeder sollte sich der Cyber-Risiken bewusst sein, welche bei der Verwendung digitaler, mit dem Internet verbundener Geräten bestünden, insbesondere bei so allgegenwärtigen Geräten wie dem „Kindle“ von Amazon.
„Was uns in diesem Fall am meisten beunruhigte, war der Grad der Opfer-Spezifität. Die Sicherheitslücken ermöglichen es einem Angreifer nämlich ein bestimmtes Publikum anzusprechen. Um ein willkürliches Beispiel zu nennen: Wenn ein Angreifer rumänische Bürger ins Visier nehmen wollte, bräuchte er nur eine kostenlose Fälschung eines dort beliebten E-Books in rumänischer Sprache zu veröffentlichen. Von da an könnte der Hacker ziemlich sicher sein, dass beinahe alle seiner Opfer tatsächlich Rumänen sind – dieser Grad an Spezifität bei Angriffen ist in der Welt der Cyber-Kriminalität und Cyber-Spionage sehr begehrt“, so Balmas. In den falschen Händen könnten diese Fähigkeiten ernsthaften Schaden anrichten, „was uns große Sorgen bereitet“.
Amazon sei während ihres koordinierten Offenlegungsprozesses kooperativ gewesen – „und wir sind froh, dass sie einen Patch für diese Sicherheitslücken bereitgestellt haben“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.06.2021
IoT-Geräte im Gesundheitswesen: Check Point warnt vor Zunahme von Angriffen

Check Point Software Technologies, Ltd. auf YouTube, 06.08.2021
Amazon Kindle Vulnerabilities Could Have Led Threat Actors to Device Control and Information Theft

[datensicherheit.de, 15.10.2018] Für sein E-Book „Cybersecurity for Dummies“ ist Joseph Carson, Chief Security Scientist beim Privileged Account Management-Anbieter Thycotic, mit dem Information Security Leadership Award 2018 in der Kategorie „Community Awareness” ausgezeichnet worden. Verliehen wird der renommierte Preis vom International Information System Security Certification Consortium, kurz (ISC)², der weltweit größten gemeinnützigen Vereinigung zertifizierter Cybersicherheitsexperten.

Schneller und detaillierter Überblick über die Bedrohungslandschaft

Das kostenlose eBook „Cybersecurity for Dummies“ bietet den Lesern einen schnellen aber detaillierten Überblick über die aktuelle Bedrohungslandschaft und erklärt die wichtigsten Sicherheitsmaßnahmen zum Schutz vor Cyberangriffen am Arbeitsplatz und zu Hause – inklusive praktischer Handlungsanweisungen.

Die ISLA-Awards zeichnen Leistungen von Personen im privaten und öffentlichen Sektor aus, die grundlegende Veränderungen im Cybersicherheitssektor im Blick haben. Die Auswahl der Gewinner trifft dabei ein aus fünf Mitgliedern des (ISC)² Advisory Council bestehendes Komitee nach Prüfung spezieller Kriterien und Voraussetzungen.

Foto: Thycotic

„Bei den meisten Sicherheitsverstößen sind privilegierte Konten oder Zugriffsdaten im Spiel. Die Intention dieses Buches war es deshalb, Menschen darüber aufzuklären, wie sie sich und ihr Unternehmen vor Cyberkriminalität schützen können“, so Carson. „Dieses Buch veranschaulicht auf verständliche Weise, wie Cyberkriminelle ihre Opfer anvisieren, wie Cyberrisiken minimiert werden und was Mitarbeiter gezielt tun können, um Angreifern den Diebstahl von Passwörtern und einen unbefugten Zugriff auf sensible Daten so schwer wie möglich zu machen.“

Weitere Informationen zum Thema:

Thycotic
E-Book „Cybersecurity for Dummies“

datensicherheit.de, 30.09.2018
„Cybersecurity Tech Accord“: Zusammenarbeit für Sicherheit und Stabilität im digitalen Raum

datensicherheit.de, 19.09.2018
Studie zur Cybersicherheit in deutschen IT- und Kommunikationsunternehmen

datensicherheit.de, 28.06.2018
Ticketmaster: Schwerer IT-Sicherheitsvorfall bei Ticketvertriebs-Portal