Dem deutschen Sicherheitsforscher Benjamin Mussler zufolge weist Amazons Kindle-Bibliothek eine Cross-Site-Scripting-Lücke (XSS) auf, durch die sich ein Angreifer den kompletten Zugriff auf ein Amazon.com-Konto verschaffen kann. Mussler hat in seinem Blog auch einen Machbarkeits-Exploit veröffentlicht.
Die Kindle-Bibliothek auf Amazon.com weist eine XSS-Lücke auf (Bild: Benjamin Mussler).
Mussler zufolge können Angreifer Schadcode in die Metadaten eines Kindle-E-Books, etwa den Titel, einfügen, der automatisch ausgeführt wird, sobals das Opfer die Kindle-Bibliothek-Seite (auch bekannt als „Inhalte und Geräte verwalten“ oder „Kindle verwalten“) auf Amazon.com öffnet. „Auf diese Weise können Amazon-Konto-Cookies aufgerufen und an den Angreifer übertragen werden und der Amazon-Account des Opfers kompromittiert werden“, erläutert Mussler.
Dem Sicherheitsforscher zufolge sind grundsätzlich alle Nutzer davon betroffen, die Amazons Kindle-Bibliothek dazu verwenden, E-Books zu speichern oder sie an ihren Kindle zu übertragen. Besonders gefährdet seien Anwender, die ihre E-Books aus nicht vertrauenswürdigen Quellen beziehen statt sie direkt bei Amazon zu kaufen.
Mussler hat die Lücke nach eigenen Angaben erstmals im November 2013 Amazon vertraulich gemeldet. Sie sei daraufhin relativ zügig geschlossen worden. Doch mit einem späteren Update seiner Webanwendung „Kindle verwalten“ habe Amazon den Bug versehentlich wieder eingeführt.
„Amazon antwortete nicht auf meine folgende E-Mail, in der ich den Fehler erläuterte, und zwei Monate später ist die Schwachstelle noch immer nicht behoben“, so Mussler. Daher habe er sich nun entschieden, die Sicherheitslücke zu veröffentlichen.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu Kindle: Kompromittierung von Amazon-Konten durch Sicherheitslücke möglich
Vielen dank für Ihren Kommentar.
Ihre Kommentar wurde gespeichert und wartet auf Moderation.