Amazons Kindle-Bibliothek weist eine Cross-Site-Scripting-Lücke (XSS) auf, durch die ein Angreifer sich vollständigen Zugriff auf ein Amazon.com-Konto verschaffen kann. Das behauptet zumindest der deutsche Sicherheitsforscher Benjamin Mussler, der in seinem Blog auch einen Machbarkeits-Exploit veröffentlicht hat.
Angreifer können Mussler zufolge Schadcode in die Metadaten eines Kindle-E-Books, etwa den Titel, einfügen, der automatisch ausgeführt wird, sobals das Opfer die Kindle-Bibliothek-Seite (auch bekannt als „Inhalte und Geräte verwalten“ oder „Kindle verwalten“) auf Amazon.com öffnet. „Auf diese Weise können Amazon-Konto-Cookies aufgerufen und an den Angreifer übertragen werden und der Amazon-Account des Opfers kompromittiert werden“, erläutert Mussler.
Dem Sicherheitsforscher zufolge sind grundsätzlich alle Nutzer davon betroffen, die Amazons Kindle-Bibliothek dazu verwenden, E-Books zu speichern oder sie an ihren Kindle zu übertragen. Besonders gefährdet seien Anwender, die ihre E-Books aus nicht vertrauenswürdigen Quellen beziehen statt sie direkt bei Amazon zu kaufen.
Nach eigenen Angaben hat Mussler die Lücke erstmals im November 2013 Amazon vertraulich gemeldet. Sie sei daraufhin relativ zügig geschlossen worden. Doch mit einem späteren Update seiner Webanwendung „Kindle verwalten“ habe Amazon den Bug versehentlich wieder eingeführt.
„Amazon antwortete nicht auf meine folgende E-Mail, in der ich den Fehler erläuterte, und zwei Monate später ist die Schwachstelle noch immer nicht behoben“, so Mussler. Daher habe er sich nun entschieden, die Sicherheitslücke zu veröffentlichen.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…