El Kindle es uno de los lectores de libros electrónicos más vendidos de todo el todo el mundo, a la vez que uno de los mejores en relación calidad/precio. Este dispositivo desarrollado por Amazon ha impulsado notablemente el consumo de libros electrónicos aunque, como todo sistema informático, también cuenta con una serie de vulnerabilidades dignas de preocupación.
Hace varias horas se ha dado a conocer una importante vulnerabilidad latente en estos dispositivos que podría permitir a un pirata informático acceder a los datos de la cuenta asociada al lector de libros electrónicos. Esta vulnerabilidad reside en cross-site scripting, uno de los métodos de ataque más peligrosos e indetectables para este tipo de dispositivos. Esta vulnerabilidad genera un riesgo en el usuario cuando descarga libros electrónicos desde fuentes desconocidas (fuera de la propia tienda de Amazon) ya que dichos libros podrían llevar el código malicioso necesario para explotar dicha vulnerabilidad en su propio código en forma de metadatos.
Un script malicioso escondido en los metadatos del libro electrónico haría que una vez copiado dicho libro a la memoria del lector, este quedara a la espera de que el módulo «Manage your Kindle» se ejecute. Una vez abierto, el script se ejecutará automáticamente mientras se analizan los libros de la memoria y hará que se envíen las cookies de sesión y demás datos personales asociados a la cuenta a un servidor específico en manos de los piratas informáticos. Este hecho es de preocupar ya que la mayoría tenemos asociadas nuestras cuentas bancarias a la cuenta de Amazon y, de caer en manos de piratas informáticos, podrían utilizar dicha información bancaria para hacer cargos en nuestras cuentas.
Esta vulnerabilidad no es nueva. En 2013 ya se descubrió, notificó y en poco tiempo fue solucionada por Amazon, sin embargo, en la última actualización publicada de «Manage your Kindle» se ha vuelto a introducir esta vulnerabilidad sin motivo aparente. Por el momento los desarrolladores de Amazon no han hecho ninguna declaración al respecto, aunque probablemente la solucionen de nuevo en la próxima actualización que publicarán lo antes posible. Mientras tanto, es recomendable no descargar libros electrónicos desde fuentes de dudosa confianza para evitar ser víctimas de esta vulnerabilidad.
¿Tienes un libro electrónico Kindle?
Fuente: Hispasec