O seu e-reader é um cavalo de Tróia desconhecido? Um pesquisador de segurança cibernética demonstrou como um e-book malicioso, baixado fora dos canais oficiais, pode dar aos hackers controle total da sua conta Amazon.
É um objeto que muitas vezes fica na mesinha de cabeceira, permanentemente conectado ao Wi-Fi e vinculado diretamente ao seu cartão bancário. O leitor eletrônico Kindle, apesar de sua aparência inofensiva, pode se tornar uma porta de entrada formidável para hackers. Esta é a demonstração feita por Valentino Ricotta, engenheiro da Thalium (divisão de segurança da Thales em Rennes), durante a conferência Black Hat Europe em Londres.
Seu método? Use um livro digital com armadilha para roubar suas credenciais sem você perceber.
Uma falha oculta nos audiolivros
O ataque, ironicamente chamado Não julgue um audiolivro pela capa (Não julgue um audiolivro pela capa em francês), explora uma funcionalidade pouco conhecida dos Kindles. Mesmo que alguns modelos não reproduzam áudio, o sistema ainda analisa arquivos de audiolivros (formato Audible) para extrair metadados e capas.
Valentino Ricotta descobriu que ao criar um arquivo malformado ele poderia causar um erro de memória (um estouro de pilha) durante esta análise. Juntamente com uma segunda vulnerabilidade localizada no teclado virtual do e-reader, esta falha permitiu-lhe executar código malicioso com todos os poderes.
Leia também: Kindle encontrou a melhor ideia para relembrar todos os personagens de Game of Thrones
O resultado é assustador, pois o hacker coleta cookies de sessão da Amazon. Ou seja, obtém acesso direto à sua conta de cliente, aos seus pedidos, aos seus dados pessoais e aos seus métodos de pagamento guardados, tudo sem necessitar da sua palavra-passe.
O perigo de carregamento lateral
Devemos parar de comprar livros na Amazon? Não. A falha diz especificamente respeito à prática de carregamento lateralou seja, importar manualmente livros baixados de sites de terceiros (muitas vezes ilegais) por meio de um cabo USB.
Leia também: 15 sites para baixar e-books grátis (e legalmente)
“Muita gente acessa sites de terceiros, baixa livros em massa e os coloca no Kindle via USB”explica o pesquisador. É aí que está a armadilha: ao pensar em conseguir um best-seller grátis, o usuário introduz o lobo no rebanho.
Uma falha corrigida e recompensada
Felizmente, esta história tem um final feliz. Valentino Ricotta relatou essas duas falhas críticas à Amazon, que as corrigiu imediatamente por meio de uma atualização de software.
Por seu trabalho, o pesquisador recebeu uma “recompensa por insetos” de US$ 20 mil, valor que Thales optou por doar integralmente para uma instituição de caridade. Este caso, porém, nos lembra uma regra de ouro digital: baixar arquivos de sites desconhecidos, mesmo para um simples e-reader, nunca é isento de riscos.
👉🏻 Acompanhe novidades de tecnologia em tempo real: adicione 01net às suas fontes no Google, assine nosso canal no WhatsApp ou siga-nos em vídeo no TikTok.
Fonte :
Os tempos