A empresa de segurança Check Point Research (CPR) encontrou algumas falhas de segurança no Kindle, da Amazon, o e-reader mais popular do mundo. Segundo a companhia, a análise mostrou que, ao abrir um arquivo malicioso disfarçado de e-book, o usuário pode ter seu dispositivo invadido por hackers, que usariam a brecha para roubar informações.

É importante ressaltar desde o começo que, felizmente, a Amazon já foi comunicada do problema e já entregou uma atualização de correção. A falha do Kindle será demonstrada ao vivo na próxima edição do evento de segurança DEF CON, em Las Vegas nos EUA, que começou ontem (5) e vai até domingo (8).

publicidade

Leia também

Imagem mostra uma mulher lendo um livro digital pelo Kindle, onde foram descobertas falhas de segurança
Falhas de segurança encontradas no Kindle, da Amazon, deixavam a segurança do usuário exposta ao roubo de informações por hackers. Felizmente, uma atualização de correção já foi disponibilizada. Imagem: Tada Images – Shutterstock

Segundo o levantamento, o arquivo malicioso continha uma cadeia autônoma de exploits que era desencadeada assim que o usuário abrisse o material. A partir daí a infecção era completada permitindo ao hacker que entregou a carga visualizar e transferir informações armazenadas dentro do Kindle, como por exemplo o chamado “Amazon Token”, uma chave de acesso às contas dos usuários em sistemas como o Prime.

A cadeia de exploits seria tão poderosa que conseguiria até mesmo infectar, do Kindle, outros dispositivos conectados na mesma rede do aparelho. A CPR dá a entender que todos os dispositivos Kindle eram afetados, uma vez que o problema era relacionado a sistema, e não hardware.

“As falhas de segurança permitiam que um ator atacasse uma população muito específica, o que preocupou muito a CPR”, disse a empresa em sua postagem sobre o caso no site oficial. “Por exemplo, se um hacker quisesse afetar uma demografia específica, ele poderia simplesmente escolher uma edição de um e-book popular em um idioma específico, orquestrando um ciberataque altamente direcionado”.

Trocando em miúdos: digamos que um hacker quisesse atacar especificamente usuários brasileiros. Ele só precisaria esconder seu exploit em um arquivo correspondente à versão brasileira de qualquer eBook. Ajustando o ataque para o português brasileiro (PT-Br), ele poderia atingir, facilmente e rapidamente, muitas pessoas.

“O Kindle, assim como outros dispositivos do tipo ‘internet das coisas’, são comumente percebidos como inócuos e ignorados como riscos de segurança”, disse Yaniv Balmas, chefe de pesquisa cibernética da CPR. “Entretanto, a nossa pesquisa demonstra que qualquer dispositivo eletrônico, ao final das contas, é uma forma específica de computador pessoal. Assim sendo, tais dispositivos estão vulneráveis aos mesmos ataques de um desktop ou notebook. Todos deveriam ter ciência dos riscos cibernéticos que vêm do uso de qualquer coisa conectada ao computador ou internet, especialmente alto tão ‘esquecível’ quanto o Kindle, da Amazon”.

A CPR comunicou a descoberta das falhas à Amazon em fevereiro de 2021. Depois de testá-las e confirmá-las internamente, uma atualização foi liberada para usuários do Kindle em abril de 2021. Essa atualização é obrigatória e é baixada e instalada no instante em que o aparelho se conecta à internet.

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!