Vulnerabilidade no Kindle permitia roubo de dados da conta Amazon

1 min de leitura
Imagem de: Vulnerabilidade no Kindle permitia roubo de dados da conta Amazon
Imagem: Unsplash
Avatar do autor

Falhas de segurança que existiam no Amazon Kindle permitiam assumir o controle total do dispositivo e ter acesso às informações pessoais do usuário, caso um invasor as explorasse. É o que revela o relatório divulgado pela Check Point Research (CPR) nesta sexta-feira (6).

Segundo a fornecedora de cibersegurança, a invasão ao leitor de e-books era possível com a simples abertura de um livro digital com malware no dispositivo, enviado à vítima. Ao clicar no conteúdo, o usuário daria início ao ataque, permitindo que o cibercriminoso explorasse as vulnerabilidades no Kindle, remotamente.

Caso a campanha fosse bem-sucedida, como mostra o vídeo abaixo, o atacante poderia excluir todos os e-books do usuário e obter acesso total à conta da Amazon cadastrada no aparelho, roubando os dados da vítima para a prática de golpes. Além disso, existia a chance de o gadget ser transformado em um bot malicioso para atacar outros dispositivos na rede local.

Essa última ação era possibilitada pelo acesso a dados demográficos específicos, proporcionado pelo bug, de acordo com a CPR. Dessa forma, o criminoso virtual poderia direcionar o ataque a um grupo em particular de pessoas ou região, selecionando um e-book popular entre as potenciais vítimas.

Amazon já corrigiu as vulnerabilidades

O alerta da equipe de pesquisa cibernética da CPR sobre as falhas de segurança no Kindle foi enviado à Amazon em fevereiro deste ano. Conforme a empresa, a gigante varejista lançou uma atualização corrigindo as vulnerabilidades cerca de dois meses depois do aviso.

A correção veio com a versão 5.13.5 da atualização de firmware do Kindle, disponibilizada em abril. O patch de segurança é instalado automaticamente nos leitores de e-books conectados à internet — vale a pena conferir se o seu aparelho está atualizado, para evitar qualquer risco.

A empresa de Jeff Bezos não informou se as brechas chegaram a ser exploradas por cibercriminosos antes da correção.