23:41
16/9/2014

Jak informuje jeden z badaczy bezpieczeństwa, Benjamin Mussler, odpowiednio spreparowane ebooki (tzn. takie, które w metadanych zawierają kod JavaScript) mogą w kontekście naszego konta Amazona wykonywać złośliwe operacje — klasyczne skutki ataku XSS. Wystarczy, że “złośliwego” ebooka wgramy do chmury Amazonu, np. wysyłając go na swoje konto Kindle e-mailem albo przez Send to Kindle.

Robert Drózd z serwisu ŚwiatCzytników.pl sprawdził, czy błąd wciąż działa:

Korzystając z Calibre zmieniłem metadane książki w tytule wpisując czyli prosty skrypt otwierający okienko z komunikatem.

Calibre - edycja metadanych

Calibre – edycja metadanych fot. swiatczytnikow.pl


Książkę wysłałem na czytnik. Wchodzę na stronę zarządzania kontem Kindle i widzę:
XSS na Amazonie dzięki złośliwym metadanym

XSS na Amazonie dzięki złośliwym metadanym, fot. swiatczytnikow.pl

Atak oczywiście nie ogranicza się do wyświetlenia alertu — tak podrzucony kod JavaScript może pobrać dowolne informacje z naszego konta.

Co ciekawe, Mussler odkrył ten błąd ponad rok temu …i został on załatany. To, że teraz znów się pojawił jest wynikiem zmian Amazonu w interfejsie konta (ktoś chyba nie robi testów regresji…). Mussler skarży się, że na ponowne zgłoszenie Amazon nie zareagował.

Jak pisze Robert ze Świata Czytników, ryzyko ataku pojawia się tylko wtedy, kiedy ściągamy książki z podejrzanych stron. Bezpieczni są ci, którzy kupują je z oficjalnych księgarni (przy założeniu, że nikt się nie włamie na serwer księgarni i nie podmieni metadanych w książkach). Problem nie dotyczy także tych osób, które w ogóle nie korzystają z chmury Amazonu, a ebooki wgrywają bezpośredni ona Kindle.

Robert przypomina także, że każdą książkę (jeśli obawiamy się, że może zawierać złośliwe metadane) możemy najpierw otworzyć w programie Calibre i poddać edycji.

Aktualizacja
Jak donosi odkrywca błędu, podatność została właśnie usunięta przez Amazon.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

19 komentarzy

Dodaj komentarz
  1. Żeby tak wszyscy sie wlamywali do ksiegarni zeby zdobyc wiedze :)

  2. Zeby tak dzieci chcialy czytac…

    • Chcą, tylko trzeba dać im przykład.

    • I dobre książki, pamiętam że samemu nie czytałem dosłownie nic z makulatury, póki nie znalazłem tego jednego konkretnego uniwersum, które pochłonęło mnie na kolejne 8 części przygody.

    • Zeby tak dorosli chcieli czytac…Zanim skrytykujesz dzieci i ogolnie mlodych ludzi to popatrz na doroslych. Ciekawe ilu spedza weekend w bibliotece a ilu chla do upadlego. Dzieci biora przyklad z gory ;) Gdyby mlodzi nie chcieli czytac to by nie powstawaly strony z pirackimi ebookami glownie o IT.

  3. Papierowa książka nigdy nie zhackuje Twojego komputera.

    • A OCR ?

  4. Jak się mają do tych “ataków” inne domeny hostowane przez serwerownie Amazonu? Czy można w ten sposób na przykład zerknąć w liste hostowanych przez amazon stron? Napisać taki skrypt, który powiedzmy wyrzucał takie okienko testowe na innej stronie? tzn. chodzi mi tak hipotetycznie :) Powiedzmy, że ktoś wrzuci takiego zainfekowanego e-booka na swoje konto Kindle, a kod zachomikowany w nim odpali okienko testowe na innej stronie hostowanej na Amazońskim serwerze… wiem, ze kiedyś chyba serwerownia Onetu (ale głowy za to nie dam) miała taki “transparentny” problem z punktu widzenia swoich klientów.

  5. Wprowadzeniem do algorytmów Cormena można łamać zabezpieczenia komputerów. Wystarczy bić kogoś póki nie zdradzi hasła.

  6. _Nie_ powinni tego naprawiać. Osoby które kupują książki legalnie nie są zagrożone albo owe zagrożenie jest minimalne, zaś te które bawią się w nielegalne książeczki niech się martwią sami o siebie.

  7. Czy czytniki EPUB sa tak samo zagrozone atakami Javascript jak przegladarki internetowe?

    @niebezpiecznik: bardzo uprzykrzacie zycie tym cloudflarem, zbyt czesto nie dziala na Torze, ani nawet na VPN. A chcialoby sie tak przegladac was z Tor Browsera i miec namiastke darknetu;) Jak strace cierpliwosc to pojde do Registera ^^

    • Działa zawsze. Czasem, jak wchodzisz z IP o złej reputacji, to nie wiemy, czy to Ty czy spambot, wiec dostajesz kapczę. Use better VPN, luke.

  8. Z pewnością by poczytały tylko trzeba im umiejętnie podsunąć. Do końca edukacji w szkole średniej nie czytałem żadnej książki bo z opowiadań na lekcjach były nudne i miałem przez to uraz. Teraz co rusz latam do empiku i conajmniej jedną miesięcznie kupuje/czytam. Po prostu znalazłem interesującą tematykę.

    • Mam wrażenie, że niektóre tytuły na liście lektur służą jedynie ogłupianiu społeczeństwa przez zniechęcanie do czytania.

  9. I jaka to tematyka?

  10. Bardzo niewłaściwy tytuł arta. Co ma złośliwość e-booka do jego pochodzenia?

    Brak logicznej zależności złośliwości z piractwem.

    • Dokładnie. Nic nie stoi na przeszkodzie aby “legalny” ebook dokonał tego samego. Wystarczy rozpropagować w sieci jakiś darmowy poradnik (a jest tego przecież cała masa) i już można zbudować całkiem przyzwoitą bazę informacji o preferencjach literackich czytelników. Nie zakładajmy też odgórnie, że komercyjne wydawnictwa nie skorzystałyby z takiej możliwości badania rynku. Co kto czyta mogłoby też zainteresować pewne władze a przecież korporacje bywają skore do współpracy…

Odpowiadasz na komentarz Payken

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: