News & Rumors: 17. September 2014,

Kindle-Website gehackt: Amazon-Cookie manipuliert

Kindle
Kindle - App-Logo

Die Sicherheit von hunderten Millionen Amazon-Accounts stand potenziell auf dem Spiel. IT-Sicherheits-Experte Benjamin Daniel Mussler hatte eine Möglichkeit entdeckt, wie man über den Titel-Text eines E-Books Amazons Kindle-Website derart manipulieren konnte, dass man deren Amazon-Account-Daten auszulesen im Stande war.

Besonders Nutzer von raubkopierten E-Books wären Opfer des Hacks geworden, der am gestrigen 16. September geschlossen worden sei. Eine Zeichenkette "" wurde in den Titel eines manipulierten E-Books integriert. Sie dient als Trigger für ein Tool, das ausgeführt wird, sobald man das E-Book in der Kindle-Bibliothek auf der Webseite Amazons verwaltete, bspw. in “Manage your Kindle” oder “Manage Your Content and Devices”. Es war dem Hacker dann möglich, ein Session-Cookie auszulesen, in dem wichtige Account-Daten enthalten sind.

Amazon hat sich Zeit gelassen

Amazon hat sich bei der Behebung des Problems merklich Zeit gelassen. Mussler hatte im Oktober 2013 schon einmal “diese” Lücke an Amazon gemeldet. Sie wurde im Dezember letzten Jahres geschlossen. Doch dann wurde die “Manage your Kindle”-Webseite irgendwann 2014 neu designt. Anfang Juli meldete er die Lücke Amazon, seit gestern gilt diese dann als geschlossen. Warum Amazon beim Redesign seines Webauftritts einmal behobene Fehler erneut eingeführt hat, ist unklar.

Calibre ebenfalls betroffen

Betroffen ist aber nicht nur Amazon, sondern das MOBI-E-Book-Format lässt sich bei einer ganzen Reihe von Tools auf diese Art und Weise schadhaft ausnutzen. Als Beispiel für weitere Software wird von Mussler das beliebte Tool Calibre genannt. Der Entwickler habe jedoch 4 Stunden nach der Mail durch Mussler auf diese reagiert und bereits am nächsten Tag mit Version 1.80 einen Patch bereitgestellt, der die Sicherheitslücke schließt, während Amazons Software-Abteilung über zwei Monate gebraucht hat.

Calibre - Screenshot zeigt Ausnutzung einer XSS Sicherheitslücke

Calibre – Screenshot zeigt Ausnutzung einer XSS Sicherheitslücke



Kindle-Website gehackt: Amazon-Cookie manipuliert
4.13 (82.5%) 8 Bewertungen

Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.

Zuletzt kommentiert






 0 Kommentar(e) bisher


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>