米AmazonのKindle管理サイトに脆弱性、不正な電子書籍で悪用可能に

攻撃者が電子書籍のタイトルなどのメタデータに不正なコードを挿入し、被害者のアカウントに侵入することが可能だったという。

» 2014年09月17日 07時36分 公開
[鈴木聖子,ITmedia]

 米Amazonが提供するKindleの電子書籍管理用のWebサイトにクロスサイトスクリプティング(XSS)の脆弱性があり、電子書籍に不正なコードを仕込んでアカウントに侵入することが可能だったという。ドイツの研究者が9月12日のブログで伝えた。

脆弱性を報告した研究者のWebサイト

 それによると、脆弱性が見つかったのは電子書籍を保存したりKindleに転送したりするための管理ページ「Kindle Library」。脆弱性を突いて、例えば電子書籍のタイトルなどのメタデータに不正なコードを挿入できてしまう状態だったという。

 不正なコードはユーザーがKindle LibraryのWebページを開くと実行され、攻撃者がcookieを入手して被害者のアカウントに侵入することが可能だった。研究者はコンセプト実証デモも公開している。

 この攻撃では、例えば海賊版の書籍などを信頼できない場所から入手して、Amazonの「Send to Kindle」サービスを使ってKindleに転送しているユーザーなどが最も被害に遭いやすいという。

 一方、Amazonが販売する電子書籍のみを使っている場合は安全なはずだとしている。

 研究者は2013年10月にこの問題を発見してAmazonに通報し、いったんは脆弱性が修正された。ところが2014年になってKindle管理用のWebページが刷新された際に、脆弱性が再び導入されたという。この問題も9月16日に修正されたと伝えている。

関連キーワード

脆弱性 | Kindle | 電子書籍 | Amazon | XSS


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ