KindleDrip：价值18000美元的Kindle漏洞

2020年10月，以色列网络安全公司Realmode研究人员Yogev Bar-On发现了Amazon Kindle中的3个安全漏洞，利用这些漏洞可以发起KindleDrip攻击，

漏洞利用链

漏洞利用链中的第一个漏洞与kindle的“Send to Kindle” 特征相关，该特征允许用户通过邮件以附件的形式发送MOBI格式的电子书到kindle设备。亚马逊会生成一个 @kindle.com 的邮箱地址，用户可以利用该地址来从用户同意的邮件地址中发送电子书。

Bar-On发现攻击者可以利用该特征来发送一个精心伪造的电子书，以在目标设备上执行任意代码。恶意电子书可以利用Kindle用来分析JPEG XR图像的库相关的漏洞来实现代码执行。漏洞利用需要用户点击含有恶意JPEG XR图像的电子书中的链接，用户点击后会引发打开web浏览器，攻击者的代码也会以提升的权限执行。

研究人员还发现了一个可以进行权限提升的漏洞，攻击者利用该漏洞可以以root权限执行代码，这样就可以完全控制设备了。

攻击者可以访问设备凭证，并使用受害者的信用卡来在kindle商店进行购买。攻击者可以在商店售书并转移到自己的账户中。

需要注意的是攻击者在这样的攻击中是无法获取真是的信用卡号和口令的，因为这类数据是不保存在设备中的。但是可以获取用来访问受害者账号的特殊token。

攻击者只需知道目标用户的邮件地址，并让受害者点击恶意电子书中的链接。Send to Kindle特征允许用户从预统一的邮件地址中发送电子书，研究人员指出攻击者很容易就可以使用邮件欺骗服务。目标用户的@kindle.com邮件地址前缀在很多情况下与用户的其他邮件地址是相同的。

KindleDrip 攻击的PoC 视频参见：https://www.youtube.com/embed/S6dPM1KHyYA

补丁

亚马逊通过漏洞奖励计划向研究人员奖励了1.8万美元。此外，亚马逊也于2020年12月发布了代码执行和权限提升问题的补丁。亚马逊还向未认证的邮件地址发送了验证链接，向部分邮件化名中加入了一些字符使得其邮件地址很难猜测。Kindle用户无需采取任何动作。

完整技术分析参见：https://medium.com/realmodelabs/kindledrip-from-your-kindles-email-address-to-using-your-credit-card-bb93dbfb2a08