かなり厄介な欠陥 ― 電子書籍の題名テキスト中でスクリプトを実行できる ― によって、Amazonアカウントのセキュリティーが破られる恐れがある。この欠陥は、過去にパッチされた後最近また現れたもので、電子書籍ファイルにプログラムを埋め込んでおくと、AmazonのKindle用ツールでその本を扱った時に実行される。現在は塞がれているようだが、アプリや他のサイトには影響を与える可能性がある。
このハックは、Kindleストアの “Manage Your Content and Devices”および“Manage your Kindle”ページに侵入する。
詳しくはここに書いてあるが、簡単に言えば本のタイトルに「<script src=”ttps://www.example.org/script.js”></script>」のようなテキストを埋め込むことによって行われる。上に挙げたページでこの種の本を調べると、スクリプトが実行されクッキーが読まれて悪質な改竄が行われる。
殆どの合法的eBookは安全だが、ハッカーはこれを利用して海賊本をターゲットにする可能性がある。研究者のBenjamin Daniel Musslerがこう書いている。
この脆弱性の被害にあう可能性が最も高いのは、電子書籍を信用できないサイト(=海賊版サイト)から入手して、Amazonの “Send to Kindle”サービスを利用して端末に送るユーザーだ。この種の脆弱性はアクティブなAmazonアカウントにアクセスする機会を提供するものだ。
Kindleは、海賊本で(合法な本でも)よく使われるフォーマットである .mobiファイルを読むことができる。Amazon独自の .azw フォーマットは影響を受けない。Musslerは、Kindleのアカウントページにポップアップウィンドウを表示する概念実証用ファイルを作った。このデモ文書は既に無効のようだが ― 私は2度試してみた ― 脆弱性が今も生きていることを示すスクリーンショットがいくつある。
今のところこの脆弱性は殆ど無害のようだが、今後同種のハックが他のアプリやサービスに侵入する可能性はある。というわけで、海賊版や自作電子本をダウンロードする時は要注意だ。
[原文へ]
(翻訳:Nob Takahashi / facebook)