安全問題研究人員日前發現亞馬遜網站出現一個漏洞,黑客或能借此獲準登錄亞馬遜用戶的賬戶。
德國研究人員本杰明·丹尼爾·穆斯勒(Benjamin Daniel Mussler)在一篇博文中披露了該漏洞。他表示,對于隱藏在Kindle電子書里的惡意計算機腳本,亞馬遜的Kindle電子書圖書館幾乎無招架之力。
黑客只需要在電子書的元數據中插入JavaScript代碼,便能夠在亞馬遜網站創建彈窗,并聯入用戶電腦中的亞馬遜網站存儲本地文件。
潛入電子書的惡意腳本能夠改變Kindle電子書圖書館頁面的顯示方式。穆斯勒在博文中表示,“從供應商的角度來講,這樣的網站漏洞讓活躍亞馬遜賬戶的準入權唾手可得。”
據穆斯勒表示,亞馬遜已在2013年11月被告知網站存有安全問題,但該漏洞至今仍未被修復。要知道,當安全研究人員告知開源電子書項目Calibre,其存在類似安全問題時,僅數小時,該漏洞便被修復。
不過,穆斯勒表示,好消息是,通過亞馬遜商店購買的Kindle電子書應該不會受到襲擊。用戶Kindle書庫中存儲的盜版電子書則更容易遭受到黑客襲擊。所以,又是一個鐵一般的事實告訴我們,不要在問題網站下載電子書。
此前一天,BI就曾發文指出,亞馬遜旗下有聲電子書零售商Audible網站存在漏洞,借助該漏洞,任何人都能夠無限免費下載有聲電子書內容。
京公網安備 11010502049343號