Aktualizacja: problem opisany w artykule poprawia oprogramowanie w wersji 5.1.2.
Sprawa jest znana od paru tygodni, ale gdy dzisiaj opisał ją polski serwis Niebezpiecznik, to już od rana dostałem parę maili na ten temat.
Problem dotyczy wyłącznie Kindle Touch. Wprowadzone niedawno nowe oprogramowanie 5.1.0 poza paroma udogodnieniami (m.in. tryb landscape) ma też poważną dziurę. Wstawienie na stronę internetową specjalnie spreparowanego kodu pozwala jej na przejęcie kontroli nad czytnikiem poprzez dostęp do poleceń systemu operacyjnego. Oczywiście tylko wtedy gdy na tę stronę wejdziemy przez przeglądarkę Touch.
Jedynym sposobem na zabezpieczenie się jest samodzielne włamanie na czytnik i wykonanie innego kodu… Zdecydowanie do tego nie namawiam.
Amazon nie wypowiedział się na temat błędu, choć na forum Mobile Read są użytkownicy z wersją 5.1.1, która rzekomo ten błąd naprawia.
Co to oznacza w praktyce?
Niewiele. Dziury bezpieczeństwa mają przeglądarki, systemy operacyjne i urządzenia, które z nich korzystają.
Najprostszy sposób aby ich uniknąć, to „higiena internetowa”. Większość zakażeń rozmaitymi robakami internetowymi bierze się z klikania w dziwne linki i chodzenia po stronach z crackami, pirackim softem i erotyką. Oczywiście, możemy też wejść na stronę, która została zakażona szkodliwym kodem.
Pytanie jednak o prawdopodobieństwo zarażenia akurat Kindle.
Dzisiejsze „robaki” to jest przemysł. Sieci zarażonych komputerów wykorzystywane są do masowego wykradania haseł, numerów kart kredytowych, dokonywania dalszych ataków i coraz bardziej bezczelnego zarabiania. M.in. niedawno polskie serwisy hostingowe były szantażowane przez właścicieli takiego botneta. Czy Kindle da się do tego wykorzystać? No nie. Numeru karty się nie wykradnie, bo ten na Kindle nie jest przechowywany. A trudno sobie wyobrazić, że ktoś robi sieć do masowego kupowania książek w Amazonie, bo to jedyna rzecz, do której można Kindle użyć.
Dlatego nie przywiązywałbym wielkiej wagi do tego błędu. Nie jest znany jakikolwiek przypadek natrafienia na taki kod, choć oczywiście nie można wykluczyć żartownisiów, którzy korzystając z podanych na tacy przykładów będą się bawić. Poza tym, jeśli coś takiego się stanie – od czego gwarancja?
Pierwszy komentarz na Niebezpieczniku: „W dzisiejszych czasach ciężko znaleźć coś bez błędu. Czy my coś robimy nie tak?”. Niestety. Znalezione dziury na Kindle to też znak popularności tego sprzętu.
Czytaj dalej:
- Kindle Scribe po podłączeniu do komputera nie jest już widoczny jako dysk, ale jako tablet/telefon!
- Dlaczego konto Amazonu to nie jest miejsce na kopię zapasową e-booków?
- Część polskich książek wysyłanych na Kindle ma już numery stron. Ale skąd?!
- Aktualizacja 5.16.6 dla Kindle – nowy układ Settings, ustawienia daty/czasu, zrzuty ekranowe i zaznaczanie
- Wielki powrót: „Wielki słownik angielsko-polski” dla Kindle jest ponownie dostępny w sprzedaży!
- Kindle for PC w wersji 2.0 (i nowszych) wreszcie widzi nasze podkreślenia i kolekcje z chmury
Toucha mam od 2 miesięcy i po za zabawą siecią na początku i ściąganiem książek z amazona lub wysłanych na Kindla sieć jest praktycznie stale wyłączona:)
To ja napiszę o innym „exploicie” bo oczywiście Nexto „nie dostało” mojego listela :).
Okazuje, się, że nexto w pewnych sytuacjach, przy opłacaniu zamówienia, potrafi obciążyć inną kartę (taką, którą się płaciło za jedno z wcześniejszych zamówień), a nie wskazaną w formularzu. Wysłałem w piątek info. Ale nie dostałem żadnej odpowiedzi (specjalnie trochę jeszcze dziś poczekałem, bo rozumiem, że w weekend może nie być nikogo kompetentnego).
Ale cisza. Ani że „dostaliśmy zgłoszenie”, ani „mamy to w nosie”
Widzę, że nie tylko mnie nexto olało. Odwdzięczyłem się tym samym i już u nich nie kupuję.
Cześć!
Co do tych kart kredytowych (czy innych danych) to jedna mała uwaga – malware, którym zainfekować może się Kindle poprzez tą dziurę raczej nie będzie ich wykradał z urządzenia, a np. poprzez przepuszczenie ruchu właściciela Kindla przez swoje proxy i podsłuchiwanie w locie…
Ja ze swojego 3G korzystam przede wszystkim podróży i kilka razy kupowałem przy jego pomocy hotele/samoloty, płacąc kartą, a jakże! Na szczęście prepaidową… ale to już moje zboczenie zawodowe :)
Osobiście bardzo chciałbym zobaczyć botnet „kopiący” bitcoiny na milionach kindli 3G, na ślad którego ktoś wpadnie analizując globalny spadek czasu czuwania Kindli na baterii ;)
Mówisz? Mój Keyboard 3G (po wymianie) trzyma dość kiepsko baterię – średnio tydzień. Może w międzyczasie już coś wykrada. :))
Swoją drogą kolega mi udowodnił, że DX potrafi wysyłać sygnał lokalizacji nawet gdy sieć jest wyłączona.
„A trudno sobie wyobrazić, że ktoś robi sieć do masowego kupowania książek w Amazonie, bo to jedyna rzecz, do której można Kindle użyć.”
Robercie, możesz tę myśl rozwinąć?
BTW., od jakiegoś czasu nurtuje mnie kwestia: w jaki sposób łączy się Kindle z kontem właściciela na Amazonie? Czy ta komunikacja jest jakoś zabezpieczona, jak, czy to jest tunneling, szyfrowanie czy co?
Ostatecznie, urządzenie łączy się z systemem z podpiętą kartą, taką czy inną, złamanie urządzenia, podszycie się pod nie, może skutkować utratą pieniędzy i, dalej brnąc w rozważania na poły teoretyczne, na poły praktyczne, można przecież utracić kontrolę nad zawartością konta, czytaj: nad publikacjami markowanymi znakami wodnymi… i kłopot gotowy, nawet jeśli ktoś nie czytał umowy ze sprzedawcą, bo niewiedza nie tłumaczy.
To zagadnienie można rozciągnąć także na chmurę Amazona i sekcję Private Documents u niego — zwłaszcza w świetle ostatnich wydarzeń z Beyond w tle (i, niestety, Woblinkiem, który utracił kontrolę nad własnym serwerem, czyli także nad transakcjami, dokumentami i publikacjami, w praktyce nie wiadomo, na czyją rzecz) — mamy tam markowane publikacje i absolutnie nie wiemy, kto i jak tym zarządza, a prawo autorskie jest jasno sformułowane, zawinione czy nie, naruszenie praw autorskich jest obciążone sankcją.
W tym samym duchu zastanawiają mnie funkcje Clip & Share w Kindle. Nasze prawo autorskie jest łagodniejsze (wciąż) niż amerykańskie, ale gdy widzę, jak są oznaczane sharingi na mykindle.amazon.com i jak jest rozwiązany dostęp do tej strony z zewnątrz, to szczerze mówiąc, skóra cierpnie, bo nawet wg naszych standardów prawnych należałoby uznać, że, szerując (w dobrej wierze przecież), naruszamy regulacje dozwolonego użytku (widzę tu paralelę do Chomika, na podobnej zasadzie łapano chomikarzy, bo nie użyli ograniczenia dostępu do zbiorów, a było), więc funkcja wygląda jak typowa pułapka (inna sprawa, że jeśli wydawca przystępuje do systemu Amazona, musi się liczyć z obecnością C&Sh, więc w razie sporu skorzystałbym z domniemania, chcącemu nie dzieje się krzywda, ale to jest wybieg dla znawców, a nie systemowe rozwiązanie dla przeciętnego klienta).
Więc właściwie jak to jest? Ktoś ma swoje przemyślenia?
Rozwijam. Zastanawiałem się, jak potencjalny atakujący może nam zaszkodzić. Owszem, popsuć czytnik, ale to nie jest problem, bo wszystkie Touch są jeszcze na gwarancji.
Myślę o szkodzie nieodwracalnej – a do tego zwykle może prowadzić włamanie np. na nasz komputer, gdy ktoś podsłuchuje klawiaturę, przejmuje hasła czy informacje osobiste.
Nic z tego nam nie grozi – najgorszym potencjalnym zagrożeniem (ale nie mam pojęcia czy przy tym typie włamania możliwym) jest korzystanie z naszego konta w celu zakupów w kindle store. Ale to też jest odwracalne.
Jak Kindle się łączy? O to najlepiej zapytać na forach developerskich. Podejrzewam, że każdy czytnik ma swoje ID na podstawie którego jest identyfikowany w Amazonie.
Jeśli chodzi o „Clip & Share” – podlega to pod klasyczne prawo cytatu. W końcu fragment, który publikujesz ma ograniczoną długość, nie da się wrzucić np. całej strony książki.
„[…] najgorszym potencjalnym zagrożeniem (ale nie mam pojęcia czy przy tym typie włamania możliwym) jest korzystanie z naszego konta w celu zakupów w kindle store. Ale to też jest odwracalne.”
Czyli jednak rozumiesz, że zagrożenie jest, szkoda że je bagatelizujesz, bo jak Ci uzmysławiają na FB, jest nawet całkiem spore.
Przypominam Ci, że A-Z możesz wykorzystać tylko 5 razy/ na 1 konto, potem bawisz się w charge-back z bankiem, a ten może Ci utrudniać życie nawet kilkadziesiąt dni, poza tym część banków nadal się upiera, że odpowiadają powyżej 150EUR. Pozostaje Ci sala sądowa, gdy druga strona się uprze.
Inna sprawa, że jeśli używasz przeglądarki na Kindle, to tam też jest cache i są hasła, które, wydaje mi się, można wykraść, zupełnie jak w domu. Gdzie tu różnica?
Co do prawa cytatu, to nie masz racji, w ogóle w tej kwestii lepiej, żebyś linkował do sejm.gov.pl, wiesz, Wiki ;)… Zaczynasz z prawem cytatu, jak wszyscy, którzy nie bardzo mają pojęcie, od argumentu ilościowego, podczas gdy ew. badana jest istotność cytatu dla struktury i oryginalności cytowanego dzieła, poza tym mamy pierwsze wyroki, w których nawet linkowanie jest czynem naruszającym prawo autorskie (co jest akurat dla mnie paranoją, ale cóż…).
Prawo cytatu obwarowane jest też pewnymi warunkami co do celowości, o czym już nie wspominasz.
Poza tym, jak dla mnie, share nie jest opisany do końca zgodnie z wymaganiami co do formy cytatu, ale nie będę się czepiać.
Oczywiście, że dam radę wyciąć i współdzielić całą stronę (mówmy raczej o lokacji), ba nawet artykuł dam radę udostępnić… i właśnie tu, w periodykach, problem jest najbardziej ciekawy, bo to one piszą te swoje formułki, że nie wolno itp., itd. vide Rzepa, wręcz wyłączając prawo cytatu (co też jest dość wysublimowaną ciekawostką, majory medialne już zapłaciły kary za straszenie klientów i wprowadzanie w błąd za pomocą plansz przed filmami, ale gazet chyba jeszcze nikt nie pozwał).
Developer, developer, a klient nie jest ciekawy, jak jego dane sensytywne płyną w świat? ;)
mykindle.amazon.com
*kindle.amazon.com
Bagatelizuję je, bo nie widzę sensu takiego włamania z perspektywy właścicieli botnetów. Naprawdę sądzisz, że im zależy na jakichś książkach??
No to których według Ciebie warunków prawa cytatu funkcja sharowania Kindle nie spełnia? Wyciąć całą stronę można, ale w całości nie poleci ona na serwer tylko do pliku My Clippings.
A dlaczego nie stworzyć botneta z milionów czytników i używać go ataków DDoS jeśli tylko nieświadomy użytkownik jest w zasięgu otwartej sieci WiFi lub takiej do, której zapisał hasło. Nadpisujemy dodatkowo obsługę wyświetlanie piktogramu sieci i automatyczną aktualizację przez Amazon.
Botnet, Robercie, to nie jedyny możliwy fraud.
Robercie, skąd takie przypuszczenie, skoro mówię Ci jako praktyk, da się szerować — pomijam, że Polak potrafi, mogę wycinać fragment za fragmentem, gdyby się nie dało ;)
Ale po co udostępniać duży kawał tekstu wycinając kawałek po kawałku? Jak ktoś chce spiratować książkę z Amazona, to przecież wystarczy użyć dużo wygodniejszego pluginu do calibre.
…ależ po nic, Domanie, to był tylko przykład dla Roberta, że zakładanie to nie jest najlepszy pomysł na udowodnienie swojej racji.
A co do prawnego aspektu clip and share to przypuszczam, że umowy Amazona z wydawcami mają na to odpowiedni paragraf i nie trzeba nic domniemywać.
Z resztą paragraf 5.5 regulaminu dla selfpublisherów (https://kdp.amazon.com/self-publishing/help?topicId=APILE934L348N) też chyba tego dotyczy.
To teraz producenci oprogramowania – powinni zrobić też antywirus np.
Kaspersky Anti-Virus for Kindle ;)
Jak dla mnie wykrycie takiej „dziury” jest jak najbardziej pożądanym efektem. Myślę, że Amazon nie zostanie obojętny na zgłaszanie tego typu luk i w przyśpieszonym tempie wyda kolejną aktualizację oprogramowania dla Kindle Touch. Mam również nadzieję, że przy okazji załatania luk, w nowej aktualizacji znajdzie się coś więcej, co być może Amazon już wcześniej zaczął przygotowywać.
Dla mnie bardzo ważne jest, żeby produkt który posiadam można było dość często aktualizować – po pierwsze ze względów bezpieczeństwa, a po drugie z powodu wprowadzania nowych funkcjonalności. Poza tym chyba nikt nie chciałby, aby producent bardzo szybko zapominał o wydanych już urządzeniach i zamiast aktualizacji wprowadzał tylko nowe produkty. Mam nadzieję, że Amazon nie zapomni o swoich dotychczasowych klientach i będzie serwował im nowe oprogramowanie na zakupione już czytniki.
Oczywiście, że nie zapomni… do wydania następnej edycji Kindle :>
paradoksalnie kazda dziura w kindle to jednak okazja zeby moderzy wyciskali z tego czytnika cos pozytywnego ponad norme :)
Co w efekcie zazwyczaj wychodzi dla nas na plus więc myślę że możemy się nawet tak troszkę cieszyć :)
ta „dziura” ma co najmniej jedno pozytywne zastosowanie: jeśli można wykonać dowolny kod, to znaczy, że pojawią się (o ile już ich nie ma) stronki, na których po klkiu będziemy mieli zrootowane urządzenie ;-]
Taka mała dygresja niezwiązana z tematem – pytanie przede wszystkim do autora strony:
Po kilku miesiącach użytkowania Kindle 4 i Kindle Touch, jak przedstawia się konfrontacja tych urządzeń? Zastanawiają mnie przede wszystkim kwestie baterii, braku przycisków zmiany strony, utrzymanie czystości ekranu no i ogólna wygoda obsługi.
Z góry dziękuję za odpowiedź.
K4 nie używam wcale (w zasadzie to jest w pożyczeniu), KTouch bardzo rzadko. Baterię ładuję raz na miesiąc lub rzadziej. :) 90% czasu to Kindle Keyboard, czyli stary K3 :)
Witam- dostalam w prezencie czytnik kindle touch- i mam problem .Korzystalam „przez chwile „z czytnika córki-Amazon kindle i teraz mam problem z czytaniem ksiazek w wersji powiekszonych literek.W czytniku córki bylo to bez wiekszego problemu a na dotykowym nijak nie moge tego pokonac.Czy to tylko kwestia przyzwyczajenia czy moze jest jakas metoda?-prosilabym o odpowiedz najlepiej na maila-będę ogromnie wdzieczna-Krystyna