Une équipe de chercheurs de la société de sécurité Check Point Research a découvert une vulnérabilité dans les lecteurs Kindle. Une faille qui pourrait permettre à des pirates de prendre le contrôle de l'appareil, de supprimer des données et d'accéder aux informations du compte Amazon. Le groupe a publié sur sa page Web un examen approfondi du travail qu'il a effectué pour découvrir les vulnérabilités. Il décrit ainsi ce qu'il a trouvé et divulgue ce qu'Amazon a fait pour corriger le problème.
Une faille sur la dernière version du Kindle
Les liseuses électroniques sont des appareils électroniques portables qui permettent aux utilisateurs de lire des textes téléchargés. Ces appareils sont utiles pour lire des fichiers PDF ou des livres formatés spécifiquement pour les lecteurs électroniques. Ils sont généralement très fins et légers, avec des écrans conçus pour que le texte ressemble beaucoup à des pages imprimées.
Amazon a commencé à travailler sur un e-reader en 2004 et a commencé à vendre son premier Kindle en 2007. Depuis lors, la société a produit une série d'appareils Kindle très populaires. Dans le cadre de ce nouvel effort, les chercheurs ont découvert que la dernière version du lecteur électronique Kindle présente une vulnérabilité. Cette faille pourrait permet aux pirates de s'introduire dans l'appareil en attachant du code à un livre électronique qu'ils ont créé.
Une faille dans le firmware
La vulnérabilité a été découverte dans le firmware. Selon l'équipe, elle était liée à un débordement de tas dans la partie du code du firmware liée au rendu des fichiers PDF. Elle est également liée à une faille dans le code lié à l'élévation des privilèges locaux sur l'appareil. Un pirate pourrait effectivement joindre du code à un livre qu'il avait écrit et l'envoyer à une victime peu méfiante. À l'ouverture du livre électronique, le code se lance et donne au pirate un accès illimité à l'appareil. Cet accès, notent les chercheurs, pourrait consister à voler des e-books. Il peut aussi empêcher l'utilisateur d'y accéder ou à supprimer ceux les fichiers téléchargés. Il aurait également pu permettre au pirate d'accéder aux informations du compte Amazon de l'utilisateur.
L'équipe de Check Point a informé Amazon de la vulnérabilité qu'elle avait découverte en février dernier et Amazon a répondu en publiant un correctif en mai dernier. Ainsi, la vulnérabilité ne constitue pas actuellement une menace pour les propriétaires de Kindle, mais elle leur rappelle que tout appareil qui se connecte à Internet est susceptible de se faire pirater.
- Partager l'article :
