¿Se puede hackear el lector electrónico más popular del mundo?

Se estima que se han vendido decenas de millones de Kindle desde el debut en 2007. Los investigadores de CPR temían que los fallos de seguridad permitieran dirigirse a grupos demográficos específicos y ha comunicado responsablemente sus hallazgos a Amazon, que ha procedido a resolverlos.

Check Point Research (CPR), proveedor líder de soluciones de ciberseguridad a nivel mundial, ha encontrado fallos de seguridad en Amazon Kindle, el lector electrónico más popular del mundo. Si se hubieran hackeado, habrían permitido a un ciberdelincuente hacerse con el control total del Kindle de un usuario y al robo del token del dispositivo o de otra información confidencial almacenada en el mismo, como los datos bancarios. La vulnerabilidad se desencadena al descargar un ebook malicioso en un dispositivo Kindle.

“Hemos encontrado vulnerabilidades en Kindle que habrían permitido a un ciberdelincuente tomar el control total del dispositivo. Al enviar a los usuarios de Kindle un ebook malicioso, podría haber robado cualquier información almacenada en el mismo, desde las credenciales de la cuenta de Amazon hasta la información bancaria”, alerta Gery Coronel, Country Manager para la Región Sur de América Latina de Check Point Software.

“Los Kindle, al igual que otros dispositivos del IoT, suelen considerarse inocuos y no se tienen en cuenta como riesgos para la seguridad. Pero nuestra investigación demuestra que cualquier aparato electrónico es vulnerable a los ataques. Todo el mundo debería ser consciente de los ciberriesgos que conlleva el uso de cualquier elemento conectado al ordenador, especialmente algo tan omnipresente como el Kindle de Amazon”, destaca Coronel.

Desde 2007, Amazon ha vendido decenas de millones de Kindles, muchos usuarios que podrían haber sido potencialmente vulnerados a través de un error de su software. Estos dispositivos podrían convertirse en bots o comprometer sus redes locales privadas o incluso la información de sus cuentas de facturación podría ser robada.

Libro electrónico como malware

La forma más sencilla de acceder de forma remota a un Kindle de un usuario es a través de un ebook. En efecto, es posible publicar un libro malicioso y ponerlo a disposición del usuario para su acceso gratuito en cualquier biblioteca virtual, incluida la Kindle Store, a través del servicio de «autopublicación», o enviarse directamente al dispositivo del usuario final a través del servicio de «envío a kindle» de Amazon.

Este hackeo implica el envío del ebook malicioso a la víctima que, si lo abre, inicia la cadena de malware. No se requiere ninguna otra indicación o interacción para ejecutar el exploit. Se ha demostrado que uno de estos podría convertirse en un malware contra Kindle, lo que provocaría una serie de consecuencias como, por ejemplo, la eliminación de los libros electrónicos de un usuario o que el Kindle se convirtiera en un bot malicioso, lo que le permitiría atacar otros dispositivos de la red local del usuario.

Dirigirse a la demografía en función del idioma

Los fallos de seguridad podrían llegar a permitir, de una forma tremendamente sencilla, que un ciberdelincuente dirija contra un público muy específico cualquier tipo de ataque, lo que preocupa considerablemente a los investigadores de CPR. Por ejemplo, si el atacante quisiera enfocarse hacia un grupo determinado de personas o que estas se encuentren en un lugar demográfico concreto, solo tendrían que seleccionar un libro electrónico popular en el correspondiente para orquestar un ciberataque muy preciso.

Información coordinada

CPR ya reveló sus hallazgos a Amazon en febrero de 2021. La empresa desplegó una corrección en la versión 5.13.5 de la actualización del firmware de Kindle en abril de 2021. El firmware parcheado se instala automáticamente en los dispositivos conectados a Internet.

 

Dejá un comentario

Tu dirección de correo electrónico no será publicada.