Kindle: Kompromittierung von Amazon-Konten durch Sicherheitslücke möglich

Durch eine Schwachstelle in Amazons US-Website haben Angreifer die Möglichkeit, schädlichen Code in die Metadaten eines Kindle-E-Books einzufügen. Sie können sich somit Zugriff auf die Nutzerkonten verschaffen.

Dem deutschen Sicherheitsforscher Benjamin Mussler zufolge weist Amazons Kindle-Bibliothek eine Cross-Site-Scripting-Lücke (XSS) auf, durch die sich ein Angreifer den kompletten Zugriff auf ein Amazon.com-Konto verschaffen kann. Mussler hat in seinem Blog auch einen Machbarkeits-Exploit veröffentlicht.

Die Kindle-Bibliothek auf Amazon.com weist eine XSS-Lücke auf (Bild: Benjamin Mussler).

Die Kindle-Bibliothek auf Amazon.com weist eine XSS-Lücke auf (Bild: Benjamin Mussler).

Mussler zufolge können Angreifer Schadcode in die Metadaten eines Kindle-E-Books, etwa den Titel, einfügen, der automatisch ausgeführt wird, sobals das Opfer die Kindle-Bibliothek-Seite (auch bekannt als „Inhalte und Geräte verwalten“ oder „Kindle verwalten“) auf Amazon.com öffnet. „Auf diese Weise können Amazon-Konto-Cookies aufgerufen und an den Angreifer übertragen werden und der Amazon-Account des Opfers kompromittiert werden“, erläutert Mussler.

Dem Sicherheitsforscher zufolge sind grundsätzlich alle Nutzer davon betroffen, die Amazons Kindle-Bibliothek dazu verwenden, E-Books zu speichern oder sie an ihren Kindle zu übertragen. Besonders gefährdet seien Anwender, die ihre E-Books aus nicht vertrauenswürdigen Quellen beziehen statt sie direkt bei Amazon zu kaufen.

Mussler hat die Lücke nach eigenen Angaben erstmals im November 2013 Amazon vertraulich gemeldet. Sie sei daraufhin relativ zügig geschlossen worden. Doch mit einem späteren Update seiner Webanwendung „Kindle verwalten“ habe Amazon den Bug versehentlich wieder eingeführt.

„Amazon antwortete nicht auf meine folgende E-Mail, in der ich den Fehler erläuterte, und zwei Monate später ist die Schwachstelle noch immer nicht behoben“, so Mussler. Daher habe er sich nun entschieden, die Sicherheitslücke zu veröffentlichen.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Kindle: Kompromittierung von Amazon-Konten durch Sicherheitslücke möglich

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *