Ciberseguridad israelí Check Point descubre falla de seguridad en Amazon

Enlace Judío.- La firma israelí de ciberseguridad Check Point dijo que había encontrado una falla de seguridad grave en el software de Amazon que dejaba una puerta abierta para que malos actores tomaran control del dispositivo de una víctima y robaran información confidencial.

La vulnerabilidad ahora cerrada permitía a los atacantes violar y tomar el control de los lectores electrónicos Kindle, dice la compañía de seguridad

Las fallas de seguridad en el Kindle de Amazon, el lector electrónico de la compañía, habrían permitido a los piratas informáticos violar el dispositivo de un usuario enviándole un libro electrónico malicioso, dijo Check Point el viernes, publicó The Times of Israel.

Check Point dijo que había revelado la vulnerabilidad a Amazon en febrero y que la compañía había cerrado la brecha de seguridad en una actualización de firmware en abril. El firmware se instala automáticamente en los dispositivos que están conectados a Internet.

Kindle es el lector electrónico más popular del mundo, con decenas de millones vendidos desde el debut del dispositivo en 2007.

Antes de la actualización del firmware, los piratas informáticos podrían haber engañado a las víctimas para que abrieran un solo libro electrónico malicioso para tomar el control total de uno de los dispositivos.

Una vez que la víctima recibía el libro electrónico y lo abría, el hacker podría haber procedido con el ataque a través de una cadena de exploits, es decir, una forma de combinar una serie de vulnerabilidades de seguridad para tomar el control de un dispositivo. La víctima no tendría que realizar ninguna otra acción, ni tener ningún otro indicio, para caer presa del ataque.

Una vez que los piratas informáticos tomaban el control del dispositivo, podían acceder a información confidencial del usuario, como las credenciales de la cuenta de Amazon o la información de facturación. Kindle también podría haberse implementado como un bot malicioso para atacar otros dispositivos en la red local del usuario.

La falla de seguridad era especialmente peligrosa porque podía permitir a los malos actores apuntar a un grupo demográfico específico, dijo Check Point. Por ejemplo, si los atacantes quisieran atacar a un determinado grupo de población, podían desplegar un libro electrónico malicioso y popular en el idioma o dialecto del grupo.

“Si un actor de amenazas quisiera apuntar a ciudadanos rumanos, todo lo que tendría que hacer es publicar un libro electrónico gratuito y popular en el idioma rumano. A partir de ahí, el actor de la amenaza podía estar bastante seguro de que todas sus víctimas serían, de hecho, rumanas”, dijo Yaniv Balmas, jefe de investigación cibernética de Check Point. “Ese grado de especificidad en las capacidades de ataque ofensivo es muy buscado en el mundo del ciberdelito y el ciberespionaje”.

Los dispositivos Kindle y otros dispositivos de Internet de las cosas (IoT) a menudo se ignoran como riesgos de seguridad, dijo Balmas en un comunicado.

“Nuestra investigación demuestra que cualquier dispositivo electrónico, al final del día, es una forma de computadora. Y como tal, estos dispositivos de IoT son vulnerables a los mismos ataques que las computadoras. Todo el mundo debería ser consciente de los riesgos cibernéticos de usar cualquier cosa conectada a la computadora, especialmente algo tan omnipresente como el Kindle de Amazon”, dijo.

No estaba claro si algún pirata informático había explotado esta vulnerabilidad en particular antes de que se abordara.

Check Point, un fabricante de firewalls de ciberseguridad, es una de las firmas de ciberseguridad líderes en Israel. Cotiza en el Nasdaq bajo el símbolo ticker CHKP con una capitalización de mercado de $ 16.5 mil millones.

La compañía dijo el mes pasado que sus ingresos del trimestre anterior fueron de 526 millones de dólares, superando las expectativas. También informó sobre un aumento en los ataques de ransomware en el último año.

En junio, Check Point dijo que había descubierto cuatro vulnerabilidades en el paquete de software de Microsoft Office, incluidos Excel y Office.

La industria de la ciberseguridad de Israel representó el 31% de las inversiones globales en el sector en 2020, colocando a la nación en segundo lugar después de EE. UU., dijo la dirección.