La compañía de seguridad Check Point creo un libro digital malicioso para una prueba de seguridad. De esta forma logró tomar control de un Kindle. Amazon fue advertida en febrero y un parche atendiendo esta falla fue lanzado en Abril.

Un E-Reader es quizás uno de los últimos dispositivos que esperaríamos que alguien hackeara con malos propósitos, sin embargo esto no lo hace invulnerable a los ataques.

La compañía de seguridad Check Point ha revelado que en Febrero de 2021 advirtió a Amazon de que el Kindle podía ser atacado a través de ebooks manipulados para tal efecto. Como consecuencia los lectores podían revelar información personal o incluso quedar convertidos en bots.

La buena noticia es que Amazon resolvió el problema en Abril, con un parche de actualización automática.

Aunque se desconoce si alguna vez se aprovechó la falla de seguridad, no parece que haya existido una campaña a gran escala relacionada.

Check Point ha apuntado que los antivirus no incluyen a los ebooks en su sistema de firmas. Un libro con fines maliciosos puede ser publicado y puesto al acceso público de forma gratuita en cualquier biblioteca virtual, incluyendo la de Kindle.

Prueba de concepto

Check Point creó un ebook malicioso a modo de prueba y comprobó que una vez abierto en un Kindle provocaba la ejecución de un código oculto con permisos de superusuario.

El ebook malicioso era capaz de conectarse a un servidor remoto y bloquear la pantalla del dispositivo. Podía tomar control del lector, acceder a la cuenta Amazon del usuario y a todas las llaves y cookies presentes.

La vulnerabilidad del Kindle permitía incluso planear víctimas según el lenguaje, la región y otros parámetros demográficos. Lo único que necesitan los criminales es definir las caracerísticas de la publicación según el lector/usuario objetivo.

Este grado de precisión es muy atractivo en el mundo del delito informático.