Amazon

Jeśli czytasz pirackie e-booki na Kindle, ktoś może przejąć Twoje konto Amazonu

Jan Rybczyński
Jeśli czytasz pirackie e-booki na Kindle, ktoś może przejąć Twoje konto Amazonu
Reklama

Są trzy powody, dla których lepiej unikać pirackich plików. Pierwsze dwa to prawo oraz kwestie moralne pozbawiania zarobku osób, których twórczość chc...

Są trzy powody, dla których lepiej unikać pirackich plików. Pierwsze dwa to prawo oraz kwestie moralne pozbawiania zarobku osób, których twórczość chcemy konsumować. Trzeci powód, nie mniej ważny, to bezpieczeństwo. Za nielegalne pliki nie tylko nikt nie odpowiada, ale często autor pirackich wersji dokłada coś od siebie, żeby udostępnienie pirackiego pliku mu się opłaciło. Sprawa znana jest w przypadku komputerów osobistych i urządzeń mobilnych. Okazuje się, że nawet w przypadku e-booków i czytników tychże zbytnia "oszczędność" może się zemścić.

Reklama

Jak się bowiem okazuje, specjalnie spreparowany e-book, lub inny dokument zawierający w metadanych skrypt może umożliwić przejęcie konta Amazonu. Wystarczy, że pobierzemy elektroniczną książkę z niepewnego źródła, a następnie prześlemy ją na czytnik za pomocą maila. Znajdzie się ona wówczas w bibliotece użytkownika. Teraz wystarczy, że użytkownik otworzy stronę "Manage Your Content and Devices", a prędzej czy później to zrobi i złośliwy kod zostanie wykonany, co umożliwi przejęcie ciasteczek użytkownika przez atakującego, a w efekcie dostęp do konta Amazonu.


Jak się okazuje, to nic nowego. Błąd po raz pierwszy został odkryty w listopadzie 2013 roku i po zgłoszeniu został przez Amazon usunięty. Niestety, gdy Amazon zaktualizował sposób zarządzania biblioteką i zastąpił Manage Your Kindle nowszą wersją strony Manage Your Content and Devices błąd powrócił i w dalszym ciągu pozwala przejąć konto użytkownika, a Amazon od dwóch miesięcy nie reaguje na zgłoszenia błędu. Dla odmiany, twórca oprogramowania do zarządzania e-bookami Calibre, gdy dowiedział się o błędzie, wprowadził poprawkę i w ciągu kilku godzin udostępnił nową wersję aplikacji, która, przypomnijmy, dostępna jest za darmo.


Zapewne pod presją Amazon niedługo usunie lukę, sprawa nie jest jednak tak banalna jak mogłoby się wydawać. Przypomnijmy, że to właśnie dane z konta Amazonu zostały wykorzystane do przejęcia konta iCloud Mata Honana, który stracił dane ze wszystkich komputerów i urządzeń mobilnych i przyczynił się do wdrożenia przez Apple weryfikacji dwuetapowej. Zwykle tak jest, że pozornie nieszkodliwe informacje z jednego konta, można wykorzystać do "odzyskania" innego, niekoniecznie swojego konta, w innym serwisie. Jeśli ktoś dotąd ściągał pirackie e-booki, w przekonaniu, że w przeciwieństwie do pobierania pirackich aplikacji i gier, nic mu nie grozi, powinien zweryfikować swoje poglądy.

Więcej informacji na temat błędu znajdzie na blogu Benjamina Daniela Musslera, który go odkrył.

Reklama

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Reklama