Se ha publicado un error en el nuevo Amazon Kindle que podría permitir el robo de la cuenta de Amazon.

El Amazon Kindle es un lector de libros electrónicos (e-books) portátil creado por Amazon. Este dispositivo permite comprar, almacenar y leer libros digitalizados con una amplia gama de extensiones soportadas.

El error se encuentra en el framework de procesado que se encuentra en el firmware del dispositivo. Específicamente en la forma en la que un PDF es manipulado, ya que esto podría ser aprovechado por ejecutar un payload malicioso en el dispositivo.

La vulnerabilidad ha sido identificada como CVE-2021-30354, causada por un error en la función de renderizado “JBIG2Globals”. Ésta podría causar un desbordamiento de memoria intermedia basado en heap. Esto podría ser aprovechado por un atacante remoto para adquirir permisos de escritura a través de un documento PDF especialmente manipulado.

Este error puede ser enlazado con la vulnerabilidad CVE-2021-30355 para elevar privilegios de seguridad a través de servicio de gestión de aplicaciones de Kindle.

Una explotación exitosa de esta vulnerabilidad, permitiría a un atacante remoto obtener el control total del dispositivo. Ademas podría tener acceso a las credenciales de la cuenta de Amazon, incluso información de compras.

A principios de año, Amazon ya se enfrentó a un problema similar que afectaba también a los productos Kindle, llamada colectivamente como “KindleDrip”.

Esta vulnerabilidad es un ejemplo más de que no se puede bajar la guardia en ningún momento y en ningún dispositivo. También nos demuestra de que debemos de estar alerta incluso leyendo un simple libro desde nuestro Kindle.

Más información

* New Amazon Kindle Bug Could’ve Let Attackers Hijack Your eBook Reader
https://thehackernews.com/2021/08/new-amazon-kindle-bug-couldve-let.html

La entrada Robo de cuenta en el nuevo Amazon Kindle se publicó primero en Una al Día.