חברת אבטחת המידע צ'ק פוינט הודיעה היום (שישי) כי גילתה חולשת אבטחה חמורה באחד המוצרים המזוהים ביותר עם אמזון – קינדל. הפרצה הייתה מופעלת על ידי לחיצה על ספר אלקטרוני עליו מותקנת נוזקה, מרגע הלחיצה יכלו הפורצים להשתלט על המכשיר.
על פי הודעת החברה, החולשות, שתוקנו על ידי אמזון לאחר עבודה משותפת של צ'ק פוינט עם מחלקת האבטחה של החברה, היו מאפשרות לתוקפים להשיג שליטה מלאה על הקינדל ולגנוב את המפתחות לחשבונות אמזון של הקורבנות.
ספר אלקטרוני אחד יכל להוביל להשתלטות על המכשיר, המידע שבתוכו וכן על חשבונות אמזון המקוריים של הקורבנות. החולשה ניצלה שיבוש שהיה קיים במנגנון הזיכרון של קינדל, בזמן עיבוד הספר האלקטרוני לפני הצגתו למשתמש. באמצעות ניצול הבעיה הזו, תוך עקיפה של מערכת האבטחה במכשיר, החולשה אפשרה להריץ מרחוק קוד שהיה מאפשר שליטה מלאה על המכשיר ועל המידע הקיים בו.
"קינדל, כמו שאר מוצרי האינטרנט של הדברים (IoT) נחשבים שלא בצדק כמוצרים שלא דורשים רמת אבטחה גבוהה", מסר איתי כהן – חוקר בכיר בצ'ק פוינט. "אולם, מחקר כגון זה מציג את הסכנות הקיימות בהם. כל מכשיר אלקטרוני המחובר לרשת, ומכיל מידע, הוא מטרה פוטנציאלית של מתקפות סייבר. מתקפות סייבר אפקטיביות מכוונות למטרות ספציפיות, ובמקרה כאן היכולת לייצר ספר אלקטרוני שימשוך את תשומת הלב של המטרה".
"בנקל היה מוביל להורדה של הספר לקינדל ואיתו את הנוזקה שמאפשרת השתלטות על המכשיר והמידע", הוסיף. "כך שפה מסוימת, כותרת מסוימת, יכולים לייצר עניין שהיה מוביל להתנעת התקיפה. אנו שמחים על כך שאמזון הבינו במהרה את חומרת החולשה ועבדו איתנו לתקנה באופן אוטומטי".