Kindle电子书漏洞可能引发设备控制和信息窃取
Check Point Research团队在今年对Kindle的研究中发现,受害者一旦打开一本恶意电子书便会触发漏洞利用链。如果不慎被利用,这些漏洞将支持攻击者完全控制用户的 Kindle,进而窃取 Amazon 设备令牌或设备上存储的其他敏感信息。CPR已经负责任地向 Amazon 披露了其调查结果,Amazon 随后部署了修复程序。据估计,自 2007 年问世以来,Kindle 已经售出数千万台。 CPR 计划在今年的拉斯维加斯 DEF CON 大会上演示这一漏洞利用手段。 电子书即恶意软件 (Book as Malware) 经CPR团队研究发现,这个漏洞首先需要向受害者发送恶意电子书。电子书送达后,受害者一旦将其打开便会启动漏洞利用链,该漏洞无需受害者进行其他动作即可自动实施。CPR 证实,电子书可能被用作针对 Kindle 的恶意软件,进而导致一系列严重后果。例如,攻击者可删除用户的电子书,或将 Kindle 转变为恶意 Bot,以便其攻击用户本地网络中的其他设备。 按语言攻击特定群体 使CPR团队更为担忧的是,该安全漏洞本身支持攻击者针对特定受众发起攻击。例如,如果攻击者...
