Kindle电子书出现可以入侵Amazon账户的漏洞

现在出现了一个能够在电子书的标题文本运行脚本的恶性漏洞，有可能危害用户Amazon账户的安全。这个漏洞曾经在去年十月被修复，但现在又死灰复燃了。黑客可以利用这个漏洞直接在电子书文件中嵌入程序，这种程序可以在Amazon的Kindle工具检查电子书的时候自动运行。该漏洞在本文成稿时似乎已经修复了，不过它仍然可能会对一些应用和其他网站造成影响。

这个漏洞影响的是Kindle电子书商店的“管理你的内容及设备”和“管理你的Kindle”等页面。

大家可以在 这里 阅读这个漏洞的详细解释，不过简单来说它就是在书籍标题注入一行带有 ”” 的代码。当上面提到的页面开始检查这些恶意电子书的时候，其中嵌入的脚本就会自动运行，读取并恶意篡改当前的cookies内容。

虽然大部分正版的Kindle电子书都是安全的，但是黑客们可以在盗版电纸书上做手脚。安全研究人员Benjamin Daniel Mussler写道：

用户最容易遭到入侵的场景是先在非法的渠道获取电子书（注：盗版电纸书），然后使用Amazon的“发送到Kindle”服务将书籍发送到他们的Kindle设备。对于盗版书籍的供应商来说，这样的漏洞为他们提供了获取活跃Amazon账户的机会。

Kindle使用的.mobi格式充斥着大量的盗版书籍。该漏洞没有影响到Amazon专用的.azw格式。Mussler还提供了一个测试文件，它可以让你的Kindle账户页面出现大量的弹出窗口。现在这个测试文件视乎已经无效（我自己测试了两次），不过之前有出现多个截图表明这个漏洞是存在的。

虽然这个漏洞到目前位置已经基本排除了危险，但它还是可能会影响到其他相关的服务或应用。所以大家请避免下载盗版或自制的电子书。（译：consideRay）

信息来自 TheDigitalReader

Researchers Create A Kindle eBook That Can Hack Your Amazon Account