Уязвимость в Amazon позволяет хакерам получить контроль над учетной записью жертвы

Уязвимость в Amazon позволяет хакерам получить контроль над учетной записью жертвы

Брешь ранее была исправлена, но появилась снова после обновления дизайна одной из страниц сайта.

Немецкий исследователь Бенджамин Дэниел Мюсслер (Benjamin Daniel Mussler) обнаружил уязвимость в Amazon Kindle, которая позволяет злоумышленникам получить контроль над учетной записью жертвы. Брешь связана с коллекцией электронных книг пользователя.

Когда человек добавляет в свою библиотеку новую электронную книгу, заголовок которой содержит скрипт наподобие

<script src=”https://www.example.org/script.js></script>,

код, прописанный в скрипте, выполняется незамедлительно при входе на web-страницу «Библиотека Kindle». Как результат, злоумышленник может получить доступ к cookie-файлам жертвы и передать их на свой компьютер. Таким образом учетная запись пострадавшего оказывается скомпрометированной.

Как пишет Мюсслер в своем блоге, уязвимость была обнаружена еще в октябре прошлого года. После того, как он уведомил администрацию Amazon об этой бреши, она была исправлена. Тем не менее, после обновления дизайна страницы «Manage Your Kindle» в этом году уязвимость вновь появилась.

Для того чтобы избежать компрометации собственной учетной записи, не стоит покупать или загружать электронные книги из ненадежных источников.

Источник: securitylab.ru