Читалки электронных книг Amazon Kindle пользуются широкой популярностью среди обычных пользователей, и не меньшим вниманием — со стороны любителей обходить ограничения максимально закрытой экосистемы Amazon. Несмотря на регулярно обнаруживаемые уязвимости в коде (требуемые для джейлбрейка), электронные книги редко обсуждаются в контексте информационной безопасности — как точка доступа к чужим деньгам и персональным данным. Тем интереснее новое исследование Йогева Бар-Она: в прошлом году он нашел сразу три уязвимости в Amazon Kindle с самой свежей на тот момент прошивкой и с их помощью построил вполне реалистичную модель атаки на пользователя, с финансовым ущербом.
Первая уязвимость, обнаруженная экспертом из компании RealModeLabs, относится к способу загрузки в Kindle собственных книг и документов путем отправки их на особый почтовый адрес. В теории отправлять книги можно только с авторизованного адреса (по умолчанию — с адреса регистрации пользователя в Amazon). На практике было обнаружено, что компания Amazon не использовала средства проверки подлинности e-mail, так как не все почтовые сервисы их поддерживают. А значит, исходящий e-mail было легко подделать.
Вторую уязвимость Йогев Бар-Он нашел в библиотеке обработки изображений в формате JPEG XR. Ошибка в обработчике картинок может приводить к переполнению буфера, причем в референсной библиотеке этой уязвимости не было — ее внесли разработчики Amazon. Здесь исследователю пришлось обойти две технические трудности. Во-первых, встраивание картинок JPEG XR возможно только в проприетарном формате для электронных книг от самой Amazon, который по почте отправить нельзя. Это было решено путем встраивания в книгу вредоносной ссылки — по ней открывается встроенный в Kindle браузер, который также может обрабатывать изображения в таком формате. Во-вторых, уязвимость приводит к выполнению произвольного кода с ограниченными правами. Помимо этого, требовалось получить root-доступ.
Окончательно сломать Kindle получилось с помощью третьей уязвимости во встроенном механизме отсл��живания падения приложений. Процесс, отслеживающий стабильность работы Kindle, запущен от имени root. Исследователь нашел способ передачи параметров этому процессу при «падении» обработчика картинок, которые вызывали выполнение кода уже с правами суперпользователя. Полный proof-of-concept атаки приведен на видео выше.
Реальная атака с использованием этих трех уязвимостей выглядела бы так. Узнаем e-mail, позволяющий отправить документ на Kindle конкретного пользователя. Он часто либо совпадает с основным почтовым адресом (но на домене kindle.com), либо представлен в формате (логин)+(случайный набор символов), который можно угадать перебором. Пользователь видит новый документ, открывает его и кликает на ссылку. В браузере загружается зараженная картинка, и мы получаем полный доступ к устройству жертвы. Доступ, в свою очередь, можно использовать, чтобы украсть данные для входа в аккаунт пользователя. Или же для «покупки» книг в магазине Amazon напрямую: для этого можно выложить в магазин поддельную и очень дорогую книгу.
Все три уязвимости были закрыты Amazon в прошлом году, а исследователь получил выплату в 18 тысяч долларов по программе Bug Bounty. В статье эксперта приводятся методы решения всех трех проблем. Теперь, если Amazon не удалось установить подлинность отправляемого e-mail, перед загрузкой книги нужно будет повторно подтвердить это действие. Обработчик изображений в формате JPEG XR был обновлен, а во встроенном отладчике была усилена валидация передаваемых данных.
Разработчик систем хранения данных QNAP предупреждает об атаке на пользовательские устройства со слабыми паролями: на них массово устанавливается криптомайнер.
Подробное описание уязвимости, позволяющей обойти встроенную в Windows систему шифрования данных BitLocker. Баг CVE-2020-1398 был закрыт летом прошлого года.
Еще один свежий write-up про уязвимость в Shazam, закрытую два года назад. Если уговорить пользователя нажать на подготовленную ссылку на устройстве с установленным приложением, можно было получить точную геолокацию.
Другой сценарий кражи персональных данных через ссылку: исследователь нашел прореху в защите данных сервиса Youtube и мог получить доступ к приватным видео любого пользователя, а также к истории просмотров.
Критические уязвимости (включая одну с рейтингом CVSS 9.9) обнаружены в решениях SD-WAN компании Cisco.
Nvidia закрывает уязвимости в ТВ-приставках Shield, а также в драйверах для видеокарт Tesla под Linux.
Очередное исследование безопасности протокола WebRTC от эксперта Google Project Zero Натали Сильванович. По его итогам было закрыто пять схожих уязвимостей в мессенджерах Signal, Google Duo, Facebook Messenger и других. В теории уязвимости позволяли инициировать передачу аудио и видео без согласия пользователя.
Первая уязвимость, обнаруженная экспертом из компании RealModeLabs, относится к способу загрузки в Kindle собственных книг и документов путем отправки их на особый почтовый адрес. В теории отправлять книги можно только с авторизованного адреса (по умолчанию — с адреса регистрации пользователя в Amazon). На практике было обнаружено, что компания Amazon не использовала средства проверки подлинности e-mail, так как не все почтовые сервисы их поддерживают. А значит, исходящий e-mail было легко подделать.
Вторую уязвимость Йогев Бар-Он нашел в библиотеке обработки изображений в формате JPEG XR. Ошибка в обработчике картинок может приводить к переполнению буфера, причем в референсной библиотеке этой уязвимости не было — ее внесли разработчики Amazon. Здесь исследователю пришлось обойти две технические трудности. Во-первых, встраивание картинок JPEG XR возможно только в проприетарном формате для электронных книг от самой Amazon, который по почте отправить нельзя. Это было решено путем встраивания в книгу вредоносной ссылки — по ней открывается встроенный в Kindle браузер, который также может обрабатывать изображения в таком формате. Во-вторых, уязвимость приводит к выполнению произвольного кода с ограниченными правами. Помимо этого, требовалось получить root-доступ.
Окончательно сломать Kindle получилось с помощью третьей уязвимости во встроенном механизме отсл��живания падения приложений. Процесс, отслеживающий стабильность работы Kindle, запущен от имени root. Исследователь нашел способ передачи параметров этому процессу при «падении» обработчика картинок, которые вызывали выполнение кода уже с правами суперпользователя. Полный proof-of-concept атаки приведен на видео выше.
Реальная атака с использованием этих трех уязвимостей выглядела бы так. Узнаем e-mail, позволяющий отправить документ на Kindle конкретного пользователя. Он часто либо совпадает с основным почтовым адресом (но на домене kindle.com), либо представлен в формате (логин)+(случайный набор символов), который можно угадать перебором. Пользователь видит новый документ, открывает его и кликает на ссылку. В браузере загружается зараженная картинка, и мы получаем полный доступ к устройству жертвы. Доступ, в свою очередь, можно использовать, чтобы украсть данные для входа в аккаунт пользователя. Или же для «покупки» книг в магазине Amazon напрямую: для этого можно выложить в магазин поддельную и очень дорогую книгу.
Все три уязвимости были закрыты Amazon в прошлом году, а исследователь получил выплату в 18 тысяч долларов по программе Bug Bounty. В статье эксперта приводятся методы решения всех трех проблем. Теперь, если Amazon не удалось установить подлинность отправляемого e-mail, перед загрузкой книги нужно будет повторно подтвердить это действие. Обработчик изображений в формате JPEG XR был обновлен, а во встроенном отладчике была усилена валидация передаваемых данных.
Что еще произошло
Разработчик систем хранения данных QNAP предупреждает об атаке на пользовательские устройства со слабыми паролями: на них массово устанавливается криптомайнер.
Подробное описание уязвимости, позволяющей обойти встроенную в Windows систему шифрования данных BitLocker. Баг CVE-2020-1398 был закрыт летом прошлого года.
Еще один свежий write-up про уязвимость в Shazam, закрытую два года назад. Если уговорить пользователя нажать на подготовленную ссылку на устройстве с установленным приложением, можно было получить точную геолокацию.
Другой сценарий кражи персональных данных через ссылку: исследователь нашел прореху в защите данных сервиса Youtube и мог получить доступ к приватным видео любого пользователя, а также к истории просмотров.
Критические уязвимости (включая одну с рейтингом CVSS 9.9) обнаружены в решениях SD-WAN компании Cisco.
Nvidia закрывает уязвимости в ТВ-приставках Shield, а также в драйверах для видеокарт Tesla под Linux.
Очередное исследование безопасности протокола WebRTC от эксперта Google Project Zero Натали Сильванович. По его итогам было закрыто пять схожих уязвимостей в мессенджерах Signal, Google Duo, Facebook Messenger и других. В теории уязвимости позволяли инициировать передачу аудио и видео без согласия пользователя.
