Realmode Labsの研究者であるYogev Bar-Onは2021年1月22日(米国時間)、「KindleDrip — From Your Kindle’s Email Address to Using Your Credit Card」において、Kindle端末の重大な脆弱性をAmazonに報告し、報奨金として1万8千ドルを受け取ったことを明らかにした。
Bar-On氏が報告した3つの脆弱性を組み合わせて利用することで、攻撃者は対象のKindle端末に紐づけられたメールアドレスを知るだけで、端末を乗っ取って電子書籍を購入したり、端末に保存されている氏名や住所などの個人情報にアクセスできる可能性があるという。
この攻撃は「KindleDrip」という名前で呼ばれており、以下のようなことが実行できるという。
- 「Send to Kindle」機能を悪用して、攻撃者が;;link;; 被害者のKindle端末に加工された電子書籍データを送信できる
- 電子書籍データの解析中に、弱いユーザーのコンテキストで任意のコードを実行できる
- 特権昇格によってroot権限を取得できる
「Send to Kindle」は、Amazonが公式に提供しているサービスのひとつである。これを利用すると、Kindleユーザーは電子書籍を電子メールの添付ファイルとしてKindle端末に送ることができる。このとき使われるメールアドレスは対象の端末専用にランダムで生成されたものになるが、Bar-On氏によるとそのエントロピーは低く、ブルートフォースによって容易に有効なアドレスを作成できる可能性があるという。
2つ目の脆弱性は、JPEG XR形式の画像を処理する際にバッファオーバーフローが発生する可能性があるというもの。KindleのデータフォーマットはKFXと呼ばれる形式だが、KFXではJPEG XRをサポートしている。したがって、KFXファイルに悪意をもって加工されたJPEG XRデータが含まれている場合、バッファオーバーフローが発生し、その結果として任意のコードを実行される危険性があるという。
3つ目の脆弱性は、クラッシュしたプロセスのスタックダンプを出力する際に、gdbコマンドを利用して任意のコードをroot権限で実行できるというものになる。2つ目の脆弱性の時点でのコード実行はまだ弱いユーザー権限によるものだが、この3つ目の脆弱性を組み合わせることで、電子メールで送りつけた電子書籍データを使ってルート権限で任意コードを実行することが可能になるという。
Amazonは既に上記の任意コード実行および特権昇格の脆弱性を修正したファームウェア(バージョン5.13.4)をリリースしている。アップデートはKindle端末がインターネットに接続した際に自動的に行われる。またSend to Kindleについては、送信元のアドレスの認証を強化し、なりすましによる電子書籍の送信を防止するように改善されたという