电子书Kindle被爆出3个新漏洞，黑客可瞬间清空用户余额

纸质书和电子书之争，在近些年逐渐被淡化，得益于智能手机的普及，越来越多的人养成数字阅读的好习惯。电子书阅读器由于类纸体验等优点，满足了广大深度阅读爱好者的需求，被越来越多的人接受。

达孜网站制作公司哪家好，找创新互联公司！从网页设计、网站建设、微信开发、APP开发、成都响应式网站建设公司等网站项目制作，到程序开发，运营维护。创新互联公司从2013年成立到现在10年的时间，我们拥有了丰富的建站经验和运维经验，来保证我们的工作的顺利进行。专注于网站建设就选创新互联公司。

亚马逊出品的Kindle最早杀入中国市场，依托平台优势，形成“硬件+内容+服务”的闭环生态，沉淀了一大批阅读爱好者，成为电子阅读器行业的领头羊。

去年10月份，以色列安全网络公司Realmode研究人员发现Kindle中的3个安全漏洞，事情被曝光后，很多人才知道，原来一个看书的设备，也可以成为黑客的攻击目标。

为什么黑客会攻击Kindle?正所谓有利益的地方，就有黑客。黑客之所以对Kindle感兴趣，主要与Kindle的盈利模式有关。用户购买Kindle后，仍然需要购买商店中的书籍，这个步骤必然涉及到支付，这给了黑客很大的动力。

研究人员发现的第一个漏洞，与“Send to Kindle”这一特征有关。这一特征允许用户通过邮件，将MOBI格式的电子书以附件的形式发送到Kindle设备。此时亚马逊会生成一个@Kindle。Com的邮箱地址，用户可以使用这一体质，实现电子书的发送。

黑客则可以利用这一特征，伪造一本电子书，当这本“电子书”发送到Kindle时，一旦用户点击含有恶意代码的电子书中的链接，Kindle会立刻打开浏览器，黑客的代码就会被执行，权限会得到相应提高。

不仅如此，研究人员还发现一个可以提升权限的漏洞，这一漏洞，可以使黑客以最高权限执行代码，达到完全控制Kindle的目的。

甚至黑客还可以访问设备凭证。虽然信用卡卡号和密码，并没有保存在并Kindle中，但攻击者只需要知道用户的邮件地址，并让用户点击恶意电子书的链接，用户很容易中招，一旦中招，黑客便可以使用用户的信用卡在Kindle商店购买书籍，只要黑客商店售书，再将用户的余额转移到自己的账户中即可。

庆幸的是，这一漏洞是安全网络公司研究人员首次发现的，在第一时间就提交给亚马逊官方。亚马逊通过漏洞奖励计划，奖励给研究人员1.8万美元，并随后给Kindle打上了代码提升权限的补丁。

完整技术分析：

https://medium.com/realmodelabs/kindledrip-from-your-kindles-email-address-to-using-your-credit-card-bb93dbfb2a08

当前文章：电子书Kindle被爆出3个新漏洞，黑客可瞬间清空用户余额
文章转载：http://www.hantingmc.com/qtweb/news21/265121.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联