Bug di sicurezza per Amazon kindle

Un codice malevolo nascosto nel meta dati di un libro digitale potrebbe consentire l’accesso direttamente all’account di un utente che il registrato sulla piattaforma Amazon.

Per fronteggiare questa falla di sicurezza, a cui Amazon non è riuscita ancora a porre rimedio, è necessario che gli utenti evitino il download di contenuti provenienti da fonti non attendibili.

Questo è uno degli avvertimenti lanciato da poco dal colosso Amazon, per evitare che i suoi utenti inconrrano in questo increscioso inconveniente, che affligge sia le applicazioni desktop, che quelle per i dispositivi mobili, ma anche gli in e-reader proprietari di Amazon: i famosi Kindle.

Un ricercatore della sicurezza di Amazon ha infatti scoperto proprio nella biblioteca the Kindle Library sul server di Amazon, questa vulnerabilità che affligge la funzione “i miei contenuti e dispositivi”, accessibile tramite il sito dell’azienda.

Un malintenzionato sfruttando questa falla di sicurezza, scoperta già ad ottobre del 2013, potrebbe nascondere un codice direttamente nei meta dati del libro piratato. In effetti il problema era stato risolto già a dicembre del 2013, ma incomprensibilmente è stato di nuovo reintrodotto.

La vulnerabilità XSS (Cross-Site Scripting) è presente nella Kindle Library, utilizzata per conservare gli ebook e per inviarli al Kindle. I Libri venduti direttamente da Amazon però soffrono di questo rischio.

La falla può essere riscontrata solo su libri scaricati da fonti che pubblicano questi contenuti pirata, e consente di accedere ai cookie  e quindi all’account dell’ignaro utente.

La stessa falla di sicurezza è presente in Calibre, il noto software open source per la gestione degli ebook. Il suo sviluppatore, Kovid Goyal, ha però risolto velocemente il problema (meno di 4 ore dalla segnalazione), rilasciando la versione 1.80. Amazon invece non ha ancora eliminato il bug.