16.09.2014
Cross-Site-Scripting
Sicherheitslücke beim E-Book-Reader Kindle
Autor: Stefan Kuhn
Foto: Amazon
Schwere Sicherheitslücke im E-Book-Reader Kindle: Angreifer können über die Kindle-Bibliothek auf der Amazon-Website vollen Zugriff auf das Kundenkonto des Opfers erlangen.
Amazons E-Book-Reader Kindle hat ein Sicherheitsleck. Angreifer erhalten über manipulierte E-Books vollen Zugriff auf das Amazon-Konto der Kindle-Leser. Der Trick: Die Hacker platzieren in den Metadaten des E-Books, also beispielsweise im Buchtitel, einen Skriptaufruf folgenden Formats:
Code-Beispiel
Ruft der Kindle-Besitzer nun die Kindle-Bibliothek auf der Amazon-Website auf, dann wird das Skript ausgeführt und der Angreifer erhält Zugriff auf das Benutzerkonto des Kunden.
Sicherheitslücke betrifft auch Calibre
Benjamin Daniel Mussler beschreibt die Sicherheits-Lücke sehr detailliert in seinem Blog und stellt dort auch ein entsprechend präpariertes E-Book als Proof of Concept zum Download bereit. Seiner Aussage zu Folge sind alle Kindle-Besitzer von dieser Sicherheitslücke betroffen, die mit der Kindle-Bibliothek von Amazon arbeiten.
Die Gefahr besteht vor allem, wenn Kindle-Besitzer beispielsweise E-Books im MOBI-Format aus anderen Quellen auf ihren E-Book-Reader laden. Kunden, die ihre Bücher ausschließlich über Amazon beziehen, sollten hingegen sicher sein vor derartigen Angriffen.
Bemerkenswert: Laut Mussler ist nicht nur Amazon für derartige Attacken per Cross-Site-Scripting (XSS) anfällig. Mit den manipulierten E-Books ließen sich in älteren Versionen der beliebten Software Calibre, mit der viele Leser ihre E-Books verwalten, ebenfalls Skripts ausführen. Erst ab Version 1.80 tritt das Problem in Calibre nicht mehr auf. Wer also noch eine ältere Version der Buchverwaltung nutzt, der sollte umgehend updaten.
Autohersteller
Erstes Smartphone von Polestar
Autohersteller Polestar hat in China sein erstes Smartphone vorgestellt, das vor allem gut mit den Fahrzeugen des Herstellers zusammenarbeiten soll.
>>
Bad News
Game macht Fake News spielerisch erkennbar
Wissenschaftler der Universität Uppsala haben ihr Online-Spiel "Bad News" erfolgreich an 516 Schülern getestet. Es soll helfen, manipulative Techniken in Social-Media-Posts zu erkennen.
>>
Ohne Nokia
HMD zeigt erste Smartphones mit der eigenen Marke
Mit den drei neuen Pulse-Modellen bringt HMD seine ersten Smartphones auf den Markt, die nicht mehr unter der Lizenz von Nokia vermarktet werden.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>