安全問題研究人員日前發(fā)現(xiàn)亞馬遜網(wǎng)站出現(xiàn)一個漏洞,黑客或能借此獲準登錄亞馬遜用戶的賬戶。
德國研究人員本杰明·丹尼爾·穆斯勒(Benjamin Daniel Mussler)在一篇博文中披露了該漏洞。他表示,對于隱藏在Kindle電子書里的惡意計算機腳本,亞馬遜的Kindle電子書圖書館幾乎無招架之力。
黑客只需要在電子書的元數(shù)據(jù)中插入JavaScript代碼,便能夠在亞馬遜網(wǎng)站創(chuàng)建彈窗,并聯(lián)入用戶電腦中的亞馬遜網(wǎng)站存儲本地文件。
潛入電子書的惡意腳本能夠改變Kindle電子書圖書館頁面的顯示方式。穆斯勒在博文中表示,“從供應(yīng)商的角度來講,這樣的網(wǎng)站漏洞讓活躍亞馬遜賬戶的準入權(quán)唾手可得。”
據(jù)穆斯勒表示,亞馬遜已在2013年11月被告知網(wǎng)站存有安全問題,但該漏洞至今仍未被修復。要知道,當安全研究人員告知開源電子書項目Calibre,其存在類似安全問題時,僅數(shù)小時,該漏洞便被修復。
不過,穆斯勒表示,好消息是,通過亞馬遜商店購買的Kindle電子書應(yīng)該不會受到襲擊。用戶Kindle書庫中存儲的盜版電子書則更容易遭受到黑客襲擊。所以,又是一個鐵一般的事實告訴我們,不要在問題網(wǎng)站下載電子書。
此前一天,BI就曾發(fā)文指出,亞馬遜旗下有聲電子書零售商Audible網(wǎng)站存在漏洞,借助該漏洞,任何人都能夠無限免費下載有聲電子書內(nèi)容。