Читалки электронных книг Amazon Kindle пользуются широкой популярностью среди обычных пользователей, и не меньшим вниманием — со стороны любителей обходить ограничения максимально закрытой экосистемы Amazon. Несмотря на регулярно обнаруживаемые уязвимости в коде (требуемые для джейлбрейка), электронные книги редко обсуждаются в контексте информационной безопасности — как точка доступа к чужим деньгам и персональным данным. Тем интереснее новое исследование Йогева Бар-Она: в прошлом году он нашел сразу три уязвимости в Amazon Kindle с самой свежей на тот момент прошивкой и с их помощью построил вполне реалистичную модель атаки на пользователя, с финансовым ущербом.
Первая уязвимость, обнаруженная экспертом из компании RealModeLabs, относится к способу загрузки в Kindle собственных книг и документов путем отправки их на особый почтовый адрес. В теории отправлять книги можно только с авторизованного адреса (по умолчанию — с адреса регистрации пользователя в Amazon). На практике было обнаружено, что компания Amazon не использовала средства проверки подлинности e-mail, так как не все почтовые сервисы их поддерживают. А значит, исходящий e-mail было легко подделать.
Вторую уязвимость Йогев Бар-Он нашел в библиотеке обработки изображений в формате JPEG XR. Ошибка в обработчике картинок может приводить к переполнению буфера, причем в референсной библиотеке этой уязвимости не было — ее внесли разработчики Amazon. Здесь исследователю пришлось обойти две технические трудности. Во-первых, встраивание картинок JPEG XR возможно только в проприетарном формате для электронных книг от самой Amazon, который по почте отправить нельзя. Это было решено путем встраивания в книгу вредоносной ссылки — по ней открывается встроенный в Kindle браузер, который также может обрабатывать изображения в таком формате. Во-вторых, уязвимость приводит к выполнению произвольного кода с ограниченными правами. Помимо этого, требовалось получить root-доступ.
Окончательно сломать Kindle получилось с помощью третьей уязвимости во встроенном механизме отслеживания падения приложений. Процесс, отслеживающий стабильность работы Kindle, запущен от имени root. Исследователь нашел способ передачи параметров этому процессу при «падении» обработчика картинок, которые вызывали выполнение кода уже с правами суперпользователя. Полный proof-of-concept атаки приведен на видео выше.
Реальная атака с использованием этих трех уязвимостей выглядела бы так. Узнаем e-mail, позволяющий отправить документ на Kindle конкретного пользователя. Он часто либо совпадает с основным почтовым адресом (но на домене kindle.com), либо представлен в формате (логин)+(случайный набор символов), который можно угадать перебором. Пользователь видит новый документ, открывает его и кликает на ссылку. В браузере загружается зараженная картинка, и мы получаем полный доступ к устройству жертвы. Доступ, в свою очередь, можно использовать, чтобы украсть данные для входа в аккаунт пользователя. Или же для «покупки» книг в магазине Amazon напрямую: для этого можно выложить в магазин поддельную и очень дорогую книгу.
Все три уязвимости были закрыты Amazon в прошлом году, а исследователь получил выплату в 18 тысяч долларов по программе Bug Bounty. В статье эксперта приводятся методы решения всех трех проблем. Теперь, если Amazon не удалось установить подлинность отправляемого e-mail, перед загрузкой книги нужно будет повторно подтвердить это действие. Обработчик изображений в формате JPEG XR был обновлен, а во встроенном отладчике была усилена валидация передаваемых данных.
Разработчик систем хранения данных QNAP предупреждает об атаке на пользовательские устройства со слабыми паролями: на них массово устанавливается криптомайнер.
Подробное описание уязвимости, позволяющей обойти встроенную в Windows систему шифрования данных BitLocker. Баг CVE-2020-1398 был закрыт летом прошлого года.
Еще один свежий write-up про уязвимость в Shazam, закрытую два года назад. Если уговорить пользователя нажать на подготовленную ссылку на устройстве с установленным приложением, можно было получить точную геолокацию.
Другой сценарий кражи персональных данных через ссылку: исследователь нашел прореху в защите данных сервиса Youtube и мог получить доступ к приватным видео любого пользователя, а также к истории просмотров.
Критические уязвимости (включая одну с рейтингом CVSS 9.9) обнаружены в решениях SD-WAN компании Cisco.
Nvidia закрывает уязвимости в ТВ-приставках Shield, а также в драйверах для видеокарт Tesla под Linux.
Очередное исследование безопасности протокола WebRTC от эксперта Google Project Zero Натали Сильванович. По его итогам было закрыто пять схожих уязвимостей в мессенджерах Signal, Google Duo, Facebook Messenger и других. В теории уязвимости позволяли инициировать передачу аудио и видео без согласия пользователя.
Первая уязвимость, обнаруженная экспертом из компании RealModeLabs, относится к способу загрузки в Kindle собственных книг и документов путем отправки их на особый почтовый адрес. В теории отправлять книги можно только с авторизованного адреса (по умолчанию — с адреса регистрации пользователя в Amazon). На практике было обнаружено, что компания Amazon не использовала средства проверки подлинности e-mail, так как не все почтовые сервисы их поддерживают. А значит, исходящий e-mail было легко подделать.
Вторую уязвимость Йогев Бар-Он нашел в библиотеке обработки изображений в формате JPEG XR. Ошибка в обработчике картинок может приводить к переполнению буфера, причем в референсной библиотеке этой уязвимости не было — ее внесли разработчики Amazon. Здесь исследователю пришлось обойти две технические трудности. Во-первых, встраивание картинок JPEG XR возможно только в проприетарном формате для электронных книг от самой Amazon, который по почте отправить нельзя. Это было решено путем встраивания в книгу вредоносной ссылки — по ней открывается встроенный в Kindle браузер, который также может обрабатывать изображения в таком формате. Во-вторых, уязвимость приводит к выполнению произвольного кода с ограниченными правами. Помимо этого, требовалось получить root-доступ.
Окончательно сломать Kindle получилось с помощью третьей уязвимости во встроенном механизме отслеживания падения приложений. Процесс, отслеживающий стабильность работы Kindle, запущен от имени root. Исследователь нашел способ передачи параметров этому процессу при «падении» обработчика картинок, которые вызывали выполнение кода уже с правами суперпользователя. Полный proof-of-concept атаки приведен на видео выше.
Реальная атака с использованием этих трех уязвимостей выглядела бы так. Узнаем e-mail, позволяющий отправить документ на Kindle конкретного пользователя. Он часто либо совпадает с основным почтовым адресом (но на домене kindle.com), либо представлен в формате (логин)+(случайный набор символов), который можно угадать перебором. Пользователь видит новый документ, открывает его и кликает на ссылку. В браузере загружается зараженная картинка, и мы получаем полный доступ к устройству жертвы. Доступ, в свою очередь, можно использовать, чтобы украсть данные для входа в аккаунт пользователя. Или же для «покупки» книг в магазине Amazon напрямую: для этого можно выложить в магазин поддельную и очень дорогую книгу.
Все три уязвимости были закрыты Amazon в прошлом году, а исследователь получил выплату в 18 тысяч долларов по программе Bug Bounty. В статье эксперта приводятся методы решения всех трех проблем. Теперь, если Amazon не удалось установить подлинность отправляемого e-mail, перед загрузкой книги нужно будет повторно подтвердить это действие. Обработчик изображений в формате JPEG XR был обновлен, а во встроенном отладчике была усилена валидация передаваемых данных.
Что еще произошло
Разработчик систем хранения данных QNAP предупреждает об атаке на пользовательские устройства со слабыми паролями: на них массово устанавливается криптомайнер.
Подробное описание уязвимости, позволяющей обойти встроенную в Windows систему шифрования данных BitLocker. Баг CVE-2020-1398 был закрыт летом прошлого года.
Еще один свежий write-up про уязвимость в Shazam, закрытую два года назад. Если уговорить пользователя нажать на подготовленную ссылку на устройстве с установленным приложением, можно было получить точную геолокацию.
Другой сценарий кражи персональных данных через ссылку: исследователь нашел прореху в защите данных сервиса Youtube и мог получить доступ к приватным видео любого пользователя, а также к истории просмотров.
Критические уязвимости (включая одну с рейтингом CVSS 9.9) обнаружены в решениях SD-WAN компании Cisco.
Nvidia закрывает уязвимости в ТВ-приставках Shield, а также в драйверах для видеокарт Tesla под Linux.
Очередное исследование безопасности протокола WebRTC от эксперта Google Project Zero Натали Сильванович. По его итогам было закрыто пять схожих уязвимостей в мессенджерах Signal, Google Duo, Facebook Messenger и других. В теории уязвимости позволяли инициировать передачу аудио и видео без согласия пользователя.
