Уязвимость в Amazon позволяет хакерам получить контроль над учетной записью жертвы

Немецкий исследователь Бенджамин Дэниел Мюсслер (Benjamin Daniel Mussler) обнаружил уязвимость в Amazon Kindle, которая позволяет злоумышленникам получить контроль над учетной записью жертвы. Брешь связана с коллекцией электронных книг пользователя.

Когда человек добавляет в свою библиотеку новую электронную книгу, заголовок которой содержит скрипт наподобие

<script src=”https://www.example.org/script.js></script>,

код, прописанный в скрипте, выполняется незамедлительно при входе на web-страницу «Библиотека Kindle». Как результат, злоумышленник может получить доступ к cookie-файлам жертвы и передать их на свой компьютер. Таким образом учетная запись пострадавшего оказывается скомпрометированной.

Как пишет Мюсслер в своем блоге, уязвимость была обнаружена еще в октябре прошлого года. После того, как он уведомил администрацию Amazon об этой бреши, она была исправлена. Тем не менее, после обновления дизайна страницы «Manage Your Kindle» в этом году уязвимость вновь появилась.

Для того чтобы избежать компрометации собственной учетной записи, не стоит покупать или загружать электронные книги из ненадежных источников.