Amazon Kindle es el lector electrónico más popular del mundo y muchos usuarios podrían haber sido potencialmente vulnerados a través de un error de su software. Así lo ha advertido la compañía de ciberseguridad Check Point Software Technologies después de que su división de Inteligencia de Amenazas, Check Point Research (CPR), haya encontrado fallos de seguridad que temían permitieran dirigirse a grupos demográficos específicos.
En un comunicado, la empresa indica que las vulnerabilidades se desencadenan al descargar ebook malicioso en un dispositivo Kindle. Si se hubieran hackeado, afirma que habrían permitido a un ciberdelincuente hacerse con el control total del Kindle de un usuario y al robo del token del dispositivo o de otra información confidencial almacenada en el mismo, como los datos bancarios.
"Hemos encontrado vulnerabilidades en Kindle que habrían permitido a un ciberdelincuente tomar el control total del dispositivo. Al enviar a los usuarios de Kindle un ebook malicioso, podría haber robado cualquier información almacenada en el mismo, desde las credenciales de la cuenta de Amazon hasta la información bancaria", ha alertado Eusebio Nieva, director técnico de Check Point Software para España y Portugal.
"Los Kindle, al igual que otros dispositivos del IoT, suelen considerarse inocuos y no se tienen en cuenta como riesgos para la seguridad. Pero nuestra investigación demuestra que cualquier aparato electrónico es vulnerable a los ataques. Todo el mundo debería ser consciente de los ciberriesgos que conlleva el uso de cualquier elemento conectado al ordenador, especialmente algo tan omnipresente como el Kindle de Amazon", ha subrayado Nieva.
Libro electrónico como malware, que podría dirigirse a la demografía en función del idioma
Como señala Check Point, la forma más sencilla de acceder de forma remota a un Kindle de un usuario es a través de un ebook. En efecto, es posible publicar un libro malicioso y ponerlo a disposición del usuario para su acceso gratuito en cualquier biblioteca virtual, incluida la Kindle Store, a través del servicio de "autopublicación". Además, existe también la opción de enviarlo directamente al dispositivo del usuario final mediante el servicio de "envío a kindle" de Amazon.
El hackeo descubierto implica el envío del ebook malicioso a la víctima y, si lo abre, inicia la cadena de malware. No se requiere ninguna otra indicación o interacción para ejecutar el exploit. Los investigadores de CPR han comprobado que uno de estos podría convertirse en un malware contra Kindle, lo que provocaría una serie de consecuencias como, por ejemplo, la eliminación de los libros electrónicos de un usuario o que el Kindle se convirtiera en un bot malicioso, lo que le permitiría atacar otros dispositivos de la red local del usuario.
Otra de las preocupaciones de la división de Inteligencia de Amenazas de Check Point es que los fallos de seguridad podrían llegar a permitir, de una forma tremendamente sencilla, que un ciberdelincuente dirija contra un público muy específico cualquier tipo de ataque. Por ejemplo, si el atacante quisiera enfocarse hacia un grupo determinado de personas o que estas se encuentren en un lugar demográfico concreto, solo tendrían que seleccionar un libro electrónico popular en el correspondiente para orquestar un ciberataque muy preciso.
Las vulnerabilidades podían "causar graves daños" y Amazon ya las ha solucionado
CPR comunicó responsablemente sus hallazgos a Amazon en febrero de 2021 y el gigante del comercio electrónico desplegó una corrección en la versión 5.13.5 de la actualización del firmware de Kindle en abril de 2021. El firmware parcheado se instala automáticamente en los dispositivos conectados a Internet.
"En este caso, lo que más nos alarmó fue el grado de precisión de la víctima potencialmente atacada. Estas vulnerabilidades de seguridad permiten dirigirse a un público muy específico. Por utilizar un ejemplo al azar, si un ciberdelincuente quisiera dirigirse a los ciudadanos rumanos, todo lo que tendría que hacer es publicar algún libro electrónico gratuito y popular en el idioma rumano", ha explicado Eusebio Nieva, y ha agregado.
"A partir de ahí, podría estar bastante seguro de que todas sus víctimas serían, efectivamente, de este país: ese grado de especificidad en las capacidades de ataque ofensivo es muy buscado en el mundo de la ciberdelincuencia y el ciberespionaje. En las manos equivocadas, esas capacidades ofensivas podrían causar graves daños, lo que nos preocupaba enormemente. Una vez más, hemos demostrado que podemos encontrar este tipo de vulnerabilidades de seguridad para asegurarnos de que se mitiguen, antes de que los atacantes 'reales' tengan la oportunidad de explotarlas".