Check Point Research ha scovato numerose falle di sicurezza anche in Amazon Kindle. I cybercriminali avrebbero potuto prendere il pieno controllo di un dispositivo semplicemente ingannando le vittime con un e-book dannoso. I danni sarebbero stati enormi: dal controllo totale del dispositivo al furto di dati sensibili.
Le falle nel sistema di sicurezza di Amazon Kindle
Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software Technologies Ltd., ha evidenziato importanti falle di sicurezza nei dispositivi Amazon Kindle. Sarebbe bastato l’invio di un e-book malevolo alla vittima selezionata, per creare danni enormi. Infatti, una volta che l’e-book viene consegnato, alla vittima basterebbe aprlirlo per dare inizio all’attacco informatico. CPR ha dimostrato che più di un e-book potrebbe essere stato utilizzato come malware ai danni di Kindle, portando a una serie di gravi conseguenze. Per esempio, un aggressore potrebbe eliminare gli e-book di un utente.
Ma le conseguenze più gravi potrebbero portare convertire il Kindle in un bot, consentendogli di attaccare altri dispositivi nella rete locale dell’utente. In questo scenario tutti i dati personali degli utenti connessi sarebbero in pericolo. Queste falle spalancherebbero le porte a grandissimi vantaggi per i cybercriminali. Questi, per esempio, avrebbero potuto prendere di mira un gruppo specifico di persone. Sarebbe bastato selezionare un e-book popolare in una determinata lingua per orchestrare un attacco informatico ben indirizzato e su larga scala.
La correzione del firmware da parte di Amazon
CPR ha rivelato le sue scoperte ad Amazon già nel febbraio 2021. Questo ha portato alla distribuzione di una correzione nella versione 5.13.5 dell’aggiornamento del firmware di Kindle, nell’aprile 2021. Il firmware con la patch si installa automaticamente sui dispositivi connessi a Internet, scongiurando le ipotesi di cui sopra.
“Abbiamo trovato delle vulnerabilità in Kindle che avrebbero permesso ad un hacker di prendere il pieno controllo del dispositivo.” Ha dichiarato Yaniv Balmas, Head of Cyber Research di Check Point Software Technologies. “Inviando agli utenti Kindle un semplice e-book dannoso, un hacker avrebbe potuto rubare qualsiasi informazione memorizzata sul dispositivo, dalle credenziali dell’account Amazon alle informazioni di fatturazione. Kindle, come altri dispositivi IoT, sono spesso considerati innocui e sottovalutati dal punto di vista della sicurezza. Però la nostra ricerca dimostra che qualsiasi dispositivo elettronico è una sorta di computer. E come tali, questi dispositivi IoT sono vulnerabili agli stessi attacchi. Tutti dovrebbero essere consapevoli dei rischi informatici nell’uso di qualsiasi cosa collegata a un computer, specialmente qualcosa che usiamo tutti i giorni.
Balmas ha accennato proprio ai rischi dei dispositivi IoT, proprio per questo vi segnaliamo questo articolo per difendere le vostre smarthome da malintenzionati. Il direttore di CPR ha anche evidenziato come Amazon sia stata estremamente collaborativa, e abbia risolto definitivamente la problematica:
“Amazon è stata collaborativa durante tutto il nostro processo di condivisione, e siamo lieti che abbiano distribuito una patch per questi problemi di sicurezza.”