Account Amazon, accesso con ebook pirata

Un codice nascosto nei metadati del libro digitale potrebbe consentire l'accesso all'account dell'utente. Amazon non ha ancora risolto la vulnerabilità.
Un codice nascosto nei metadati del libro digitale potrebbe consentire l'accesso all'account dell'utente. Amazon non ha ancora risolto la vulnerabilità.
Luca Colantuoni
Pubblicato il 16 set 2014

Evitare il download di contenuti da fonti non affidabili. Questo è avvertimento è valido non solo per le applicazioni desktop e mobile, ma anche per gli ebook. Un ricercatore di sicurezza ha infatti scoperto una vulnerabilità nella Kindle Library di Amazon, nota in italiano come “I miei contenuti e dispositivi”, accessibile tramite il sito dell’azienda statunitense. Un malintenzionato potrebbe nascondere un particolare codice nei metadati del libro pirata e accedere liberamente all’account.

Benjamin Daniel Mussler ha illustrato in dettaglio la vulnerabilità, indicando anche la timeline che ha portata alla sua divulgazione pubblica. La scoperta della falla di sicurezza, infatti, risale al mese di ottobre 2013. Circa due mesi dopo aver contattato Amazon, il bug è stato risolto, ma incomprensibilmente è stato reintrodotto in occasione dell’aggiornamento della funzionalità “Manage Your Kindle”. Nonostante la nuova segnalazione, Amazon non ha corretto il problema, quindi Mussler ha deciso di avvisare gli utenti.

La vulnerabilità XSS (Cross-Site Scripting) è presente nella Kindle Library, utilizzata per conservare gli ebook e per inviarli al Kindle. Gli utenti che acquistano i libri digitali distribuiti da Amazon non corrono però nessun rischio. La falla può essere sfruttata solo se vengono scaricati ebook da fonti che pubblicano contenuti pirata, inviati al reader tramite il servizio “Send to Kindle”. Nel titolo del libro potrebbe essere nascosta una riga del tipo https://www.example.org/script.js.

Il codice viene automaticamente eseguito quando l’utente apre la pagina della Kindle Library. Lo script consente al malintenzionato di accedere ai cookie di sessione e quindi all’account degli ignaro utente. Mussler ha pubblicato un proof-of-concept (un file in formato .mobi) per dimostrare l’esistenza della vulnerabilità.

La stessa falla di sicurezza è presente in Calibre, il noto software open source per la gestione degli ebook. Il suo sviluppatore, Kovid Goyal, ha però risolto velocemente il problema (meno di 4 ore dalla segnalazione), rilasciando la versione 1.80. Amazon invece non ha ancora eliminato il bug.

Ti consigliamo anche

Caricabatterie portatile, piccolo ma POTENTE: ancora per poco al 20% di sconto su Amazon!
Web e Social

Caricabatterie portatile, piccolo ma POTENTE: ancora per poco al 20% di sconto su Amazon!
TECH PREMIUM: SCONTI AMAZON INCREDIBILI! Risparmio garantito!
Web e Social

TECH PREMIUM: SCONTI AMAZON INCREDIBILI! Risparmio garantito!
Bombe tech di fine giornata: cuffie, fotocamere, droni, TV e laptop a prezzi PAZZI su Amazon
Web e Social

Bombe tech di fine giornata: cuffie, fotocamere, droni, TV e laptop a prezzi PAZZI su Amazon
25 Aprile su WhatsApp: le frasi e i simboli da condividere con i propri contatti
Web e Social

25 Aprile su WhatsApp: le frasi e i simboli da condividere con i propri contatti
Link copiato negli appunti