Uma falha grave foi descoberta no Amazon Kindle, dispositivo popular para leitura digital. Um pesquisador demonstrou que um livro malicioso pode dar acesso total à conta Amazon do usuário, explorando vulnerabilidades no software, teclado virtual e audiolivros.
A brecha permite que atacantes capturem cookies de sessão e controlem o aparelho sem necessidade de senha. A Amazon lançou atualizações automáticas para corrigir o problema e orienta os usuários a evitar golpes combinados com engenharia social.
Especialistas recomendam atenção redobrada em períodos de promoções, pois ataques podem incluir ligações falsas e phishing. A conscientização e o uso das atualizações são essenciais para manter a segurança dos dados.
Na conferência Black Hat Europe, uma falha grave foi descoberta no dispositivo Kindle, utilizado para leitura digital. Valentino Ricotta, engenheiro da Thales, demonstrou como um livro malicioso poderia fornecer acesso total à conta Amazon do usuário. A brecha explora vulnerabilidades tanto no software do leitor quanto no teclado virtual e na funcionalidade de audiolivros Audible.
Ricotta identificou uma falha de memória no processamento de arquivos de áudio, capaz de capturar cookies de sessão da Amazon. Com esses dados, um atacante consegue entrar direto na conta sem precisar de senha. Além disso, o teclado virtual, com privilégios elevados e falta de controles, permite controle total do aparelho ao abrir outro arquivo malicioso.
Esse tipo de ataque não raro ocorre em períodos de alta movimentação, como promoções. Experts em segurança alertam para golpes que combinam ataques técnicos com engenharia social, como ligações falsas dizendo ser do “departamento antifraude da Amazon”, induzindo vítimas a entregar dados ou instalar apps maliciosos.
A Amazon foi informada antes da exposição pública das falhas e agiu rapidamente, liberando atualizações automáticas para todos os dispositivos afetados. O pesquisador recebeu US$ 20 mil como recompensa pelo reporte responsável. A empresa recomenda que usuários estejam atentos a tentativas de phishing e sigam as orientações de segurança oficial.
Via Forbes Brasil
