E-okuyucunuz farkında olmayan bir Truva atı mı? Bir siber güvenlik araştırmacısı, resmi kanalların dışında indirilen kötü amaçlı bir e-kitabın, bilgisayar korsanlarına Amazon hesabınızın tam kontrolünü nasıl verebileceğini gösterdi.
Genellikle komodinin üzerinde bırakılan, kalıcı olarak Wi-Fi'ye bağlanan ve doğrudan banka kartınıza bağlanan bir nesnedir. Kindle e-okuyucu, zararsız görünümüne rağmen bilgisayar korsanları için zorlu bir geçit haline gelebilir. Bu, Thalium'dan (Rennes'deki Thales'in güvenlik bölümü) bir mühendis olan Valentino Ricotta tarafından Londra'daki Black Hat Avrupa konferansı sırasında yapılan gösteridir.
Onun yöntemi mi? Farkında olmadan kimlik bilgilerinizi çalmak için bubi tuzaklı bir dijital kitap kullanın.
Sesli kitaplarda gizli bir kusur
İronik olarak adlandırılan saldırı Bir Sesli Kitabı Kapağına Göre Yargılamayın (Bir sesli kitabı kapağına göre yargılamayın Fransızca), Kindles'ın az bilinen bir işlevinden yararlanır. Bazı modeller ses çalmasa da sistem yine de meta verileri ve kapak resmini çıkarmak için sesli kitap dosyalarını (Audible formatı) analiz eder.
Valentino Ricotta, hatalı biçimlendirilmiş bir dosya oluşturarak bellek hatasına neden olabileceğini keşfetti (bir yığın taşması) bu analiz sırasında. E-okuyucunun sanal klavyesinde bulunan ikinci bir güvenlik açığıyla birleşen bu kusur, kötü amaçlı kodun tam güçle çalıştırılmasına olanak sağladı.
Ayrıca okuyun: Kindle, Game of Thrones'un tüm karakterlerini hatırlamak için en iyi fikri buldu
Bilgisayar korsanı Amazon oturum çerezlerini topladığı için sonuç korkutucudur. Başka bir deyişle müşteri hesabınıza, siparişlerinize, kişisel verilerinize ve kayıtlı ödeme yöntemlerinize şifrenize ihtiyaç duymadan doğrudan erişim sağlar.
tehlikesi yandan yükleme
Amazon'dan kitap satın almayı bırakmalı mıyız? Hayır. Kusur özellikle şu uygulamalarla ilgilidir: yandan yüklemeyani, üçüncü taraf (genellikle yasa dışı) sitelerden indirilen kitapların bir USB kablosu aracılığıyla manuel olarak içe aktarılması.
Ayrıca okuyun: E-kitapları ücretsiz (ve yasal olarak) indirebileceğiniz 15 site
“Birçok kişi üçüncü taraf sitelere gidiyor, kitapları toplu olarak indiriyor ve USB aracılığıyla Kindle'larına yüklüyor”araştırmacıyı açıklıyor. Tuzak burada yatıyor: Kullanıcı, ücretsiz bir çok satan kitap almayı düşünerek, kurdu sürüye sokar.
Bir kusur düzeltildi ve ödüllendirildi
Neyse ki bu hikayenin mutlu sonu var. Valentino Ricotta bu iki kritik kusuru Amazon'a bildirdi ve Amazon bir yazılım güncellemesiyle bunları hemen düzeltti.
Araştırmacı, çalışması için 20.000 dolarlık bir “böcek ödülü” aldı; bu miktar Thales'in tamamını bir hayır kurumuna bağışlamayı seçti. Ancak bu durum bize dijital bir altın kuralı hatırlatıyor: Bilinmeyen sitelerden dosya indirmek, basit bir e-okuyucu için bile asla risksiz değildir.
👉🏻 Teknoloji haberlerini gerçek zamanlı takip edin: 01net'i Google'daki kaynaklarınıza ekleyin, WhatsApp kanalımıza abone olun veya bizi TikTok'taki videodan takip edin.
Kaynak :
Times
Bir yanıt yazın