Si vous avez un Kindle, faites attention aux ebooks vérolés

Les Kindle ne sont pas à l’abri des cyberattaques. C’est ce que nous révèle le chercheur en sécurité Yogev Bar-On. Ce dernier a récemment publié une vidéo sur YouTube dans laquelle il attire notre attention sur les différentes failles de sécurité de la liseuse d’Amazon. Yogev Bar-On a exploité l’option de partage « Send to Kindle » pour pirater l’appareil.

C’est en utilisant cette fonctionnalité qu’il a pu envoyer un e-book malveillant sur le Kindle qu’il a ciblé. Cette attaque n’a pas été difficile à mettre en place. Comme on peut le voir dans sa vidéo, il suffit d’avoir l’adresse e-mail de la victime. Lorsque celle-ci ouvre le fichier, elle s’expose à l’exécution d’un code arbitraire sur son Kindle. Sans le savoir, elle donne un libre accès à son compte au pirate.

Le Kindle d'Amazon
Crédits Pixabau

Cette attaque a été baptisée « Kindle Drip. »

Kindle, un appareil vulnérable?

Dans sa vidéo, Yogev Bar-On met en lumière toutes les vulnérabilités du Kindle. Au total, il en a répertorié trois. La première est celle qui lui a permis d’envoyer facilement un e-book malveillant sur la liseuse. La deuxième a facilité l’exécution d’un code arbitraire à distance. La troisième faille, quant à elle, lui a donné le contrôle de l’appareil de sa victime.

Toutes ces vulnérabilités peuvent être utilisées par les hackers à des fins peu scrupuleuses. Ils peuvent par exemple se servir du compte de leur cible pour booster les ventes de leurs e-books en se servant de leur carte de crédit. La vidéo de Yogev Bar-On n’est pas passée inaperçue auprès d’Amazon.

Des failles de sécurité corrigées par Amazon

La firme de Jeff Bezos a de quoi être reconnaissante envers Yogev Bar-On. Sans lui, elle n’aurait peut-être jamais pris connaissance de l’existence de ces vulnérabilités. Ainsi, le 10 décembre 2020, Amazon a corrigé toutes les failles qu’il a pointées du doigt sur les Kindle qui sont sortis après 2014.

Pour sa part, le chercheur en sécurité a été gracieusement récompensé par Amazon dans le cadre de son programme de recherche sur les vulnérabilités. D’après le site The Hacker News, Yogev Bar-On a reçu 18 000 $ pour son travail. Désormais, Amazon envoie un lien de vérification aux utilisateurs pour les protéger de la réception de données malveillantes.

Si vous faites partie des adeptes du Kindle, vous pouvez maintenant dormir sur vos deux oreilles.

Mots-clés kindle