Vulnerabilidade no Kindle deixa que e-book malicioso quebre sua segurança

Produzido pela Amazon, o Kindle é um dos leitores digitais mais populares do mundo e permite a leitura de livros obtidos tanto pela loja da empresa quanto por meios alternativos. Essa característica o torna aberto a problemas de segurança, incluindo o uso de e-books com códigos maliciosos que permitem a um cibercriminoso roubar dados pessoais e assumir o controle do aparelho.

• Como cancelar compras feitas no Kindle
• Ciberataques estão mais destrutivos e aumentam pressão sobre profissionais
• 5 mil sites falsos continuam usando a pandemia como isca para roubo de dados

Segundo a Check Point Research (CPR), o ataque é simples e depende somente de a vítima abrir o arquivo comprometido em seu dispositivo. A ação permite que o atacante roube todos os dados demográficos presentes no aparelho e tenha acesso ao token da Amazon associado a ele — o que abre caminho para a realização de diversos golpes bancários.

Uma investigação conduzida pela empresa mostra que o Kindle infectado também pode ser convertido em um bot malicioso, a partir do qual são realizados ataques contra outros dispositivos conectados na rede do usuário. Para a CPR, as brechas do aparelho permitem a criação de ataques bastante específicos: o arquivo malicioso pode se disfarçar como um livro digital de um assunto específico, ou prometer acesso a uma obra popular em um idioma ou dialeto usado somente em uma região.

Dispositivos atualizados já estão protegidos

Antes de divulgar suas descobertas, a CPR as compartilhou com a Amazon, que já criou uma solução de segurança para os dispositivos vulneráveis. A atualização foi divulgada em abril de 2021, e já pode ser instalada automaticamente por qualquer Kindle que esteja conectado à internet.

“A Amazon cooperou em todo o nosso processo de divulgação coordenado de modo que puderam implementar um patch para esses problemas de segurança”, afirma Yaniv Balmas, head de Pesquisa Cibernética da Check Point Software Technologies. “O Kindle, assim como outros dispositivos IoT, costuma ser ignorado como risco à segurança”, alerta.

“Todos devem estar cientes dos riscos cibernéticos de usar qualquer dispositivo conectado ao computador, especialmente algo tão onipresente como o Kindle da Amazon”, complementa o especialista. Como a Amazon já distribuiu uma atualização de segurança para as brechas descobertas, a CPR divulgou no YouTube um vídeo que mostra como os ataques podem ser realizados.

Mesmo que seja especializado na leitura de documentos, o e-Reader — assim como qualquer dispositivo eletrônico — deve ser considerado como um computador que também está suscetível a brechas de segurança. Assim, além de manter seu software atualizado, é preciso ter cuidado redobrado sobre os documentos executados e as fontes nas quais eles são obtidos.