近年来,由于智能手机的普及,纸质书和电子书成了数字阅读的好习惯越来越多的人养成了数字阅读的好习惯。由于纸质体验的优势,电子书阅读器满足了广大深度阅读爱好者的需求,被越来越多的人所接受。
亚马逊制作的Kindle最早进入中国市场,依托平台优势形成“硬件 内容 服务”闭环生态沉淀了大量的阅读爱好者,成为电子阅读器行业的领导者。
去年10月,以色列安全网络公司Realmode研究人员发现Kindle三个安全漏洞,事情曝光后,很多人阅读设备也可以成为黑客的攻击目标。
为什么黑客会攻击?Kindle?有利益的地方就有黑客。黑客是对的Kindle感兴趣,主要和Kindle利润模式相关。用户购买Kindle之后还是需要在店里买书,这一步必然涉及到付款,给了黑客很大的动力。
研究人员发现的第一个漏洞“Send to Kindle”这一特征有关。这一特征允许用户通过邮件,将MOBI格式电子书以附件的形式发送到Kindle此时,亚马逊将生成一个设备。@Kindle。Com邮箱地址,用户可以使用这种体质,实现电子书的发送。
黑客可以利用这一特点伪造电子书“电子书”发送到Kindle时,一旦用户点击含有恶意代码的电子书中的链接,Kindle浏览器将立即打开,黑客代码将被执行,权限将相应提高。
不仅如此,研究人员还发现了一个可以提高权限的漏洞,可以使黑客以最高权限执行代码,实现完全控制Kindle的目的。
即使是黑客也可以访问设备凭证。虽然信用卡号码和密码没有保存和保存Kindle然而,攻击者只需要知道用户的电子邮件地址,并要求用户点击恶意电子书的链接。用户很容易被抓住。一旦被抓住,黑客就可以使用用户的信用卡Kindle商店买书,只要黑客商店卖书,然后把用户的余额转移到自己的账户。
幸运的是,安全网络公司的研究人员首次发现了这个漏洞,并在第一时间提交给亚马逊官员。亚马逊通过漏洞奖励计划奖励研究人员1.8一万美元,然后给Kindle用代码提升权限的补丁。
完整的技术分析:
https://medium.com/realmodelabs/kindledrip-from-your-kindles-email-address-to-using-your-credit-card-bb93dbfb2a08