Expertos en detectar este tipo de fallos en dispositivos móviles han descubierto un problema de seguridad que han catalogado como grave en el lector de eBook de la empresa que comenzó sus andanzas vendiendo ejemplares de libros en internet.
Según el informe, el agujero de seguridad se encuentra en el navegador nativo que posee el sistema operativo que se instala en el Kindle Touch y que según han confirmado, permite ejecutar comandos en modo shell como root del sistema, es decir, utilizando el máximo nivel de privilegio.
Aunque hasta el momento no se han registrado incidentes, el fallo permitiría robar las datos de la cuenta de usuario de Amazon y realizar la compra de libros sin el consentimiento del dueño de la cuenta.
A pesar de que parezca extraño, el problema de seguridad según se ha podido saber, era conocido por los responsables de Amazon. Antes de continuar, recordamos que el navegador se encuentra en fase beta desde hace más de un año y parece increiblñe que todavía no hayan alcanzado una versión definitiva y depurada.
Sabiendo puede parecer que el problema no reviste mayor importancia, pero la cosa es muy distinta.
Posibilidad de inyectar comandos para que sean ejecutados
La versión actual del firmware, la 5.1.0, permite (tal y como han podido comprobar diferentes personas) inyectar comandos a una shell para que estos sean ejecutados. Gracias a la lista de comandos que se pueden ejecutar, una tercera persona puede acceder al fichero donde se guarda la contraseña de superusuario (usuario root del dispositivo) y comenzar a ejecutar comandos con el máximo nivel de privilegios, o incluso instalar software que no es aceptado por Amazon.
¿Posible solución al problema?
De momento los usuarios no pueden hacer nada más que esperar a que los responsables de seguridad de Amazon publiquen un parche de seguridad para el dispositivo. Se cree que ningún otro dispositivo de la familia Kindle ha sido afectado por el problema, por lo que de momento, el problema se ha centrado únicamente en el Kindle Toutch.
Desde el departamento de seguridad han hecho saber que los nuevos dispositivos están siendo equipados con la versión del firmware 5.1.1 que corrige el problema. Sin embargo, los usuarios que ya han adquirido el equipo no van a poder actualizarlo de momento de forma manual.