News

Amazon: Schadcode in Ebooks ermöglicht Übernahme von Nutzerkonten

Durch eine Sicherheitslücke in Amazons Kindle Bibliothek lässt sich Schadcode aus den Metadaten von Ebooks ausführen. Damit kann der Angreifer die Kontrolle über das Amazon-Konto des Opfers übernehmen.

19.09.2014, 09:01 Uhr
Amazon© Amazon

Die Kindle-Bibliothek auf der amerikanischen Amazon Webseite weist laut CNET.de eine Cross-Site-Scripting (XSS) Lücke auf, durch die es Angreifern ermöglicht wird, über die Metadaten eines Kindle-Ebooks Schadcode einzuschleusen. Entdeckt wurde die Sicherheitslücke durch den deutschen Sicherheitsforscher Benjamin Mussler. In seinem Blog berichtet er darüber.

Durch die Überschrift ins Nutzerkonto

Jeder Nutzer, der die Amazon Kindle-Bibliothek dazu nutzt, Ebooks zu speichern oder auf einen Kindle zu laden, ist potentiell gefährdet. Wer Ebooks aus wenig vertrauenswürdigen Quellen statt direkt bei Amazon erwirbt, erhöht das Risiko natürlich weiter.

Der Angreifer muss den Schadcode lediglich in die Überschrift eines Ebooks einfügen, öffnet der Nutzer es dann in seiner Kindle-Bibliothek, wird der Code automatisch ausgeführt. Auf diese Weise kann der Angreifer Amazon-Konto-Cookies aus dem Konto des Opfers übertragen und sich somit Zugriff auf das Konto verschaffen.

Erste Entdeckung schon letztes Jahr

Mussler bemerkte diese Lücke erstmals im November 2013 und meldete diese an Amazon. Dort wurde der Fehler relativ schnell beseitigt. Ein Update der Anwendung "Kindle verwalten" brachte den Fehler jedoch später wieder zurück. Da Amazon auf erneute Hinweise von Mussler nicht reagierte, machte er den Fehler jetzt öffentlich.

(Falko Kuplent)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang