Un 'ebook' malicioso permitía tomar el control total de un lector Kindle

Una vulnerabilidad presente en el lector electrónico Amazon Kindle ha permitido a los ciberdelincuentes hacerse con el control total del dispositivo de un usuario y acceder a información confidencial almacenada en el mismo, con la descarga de un 'ebook' malicioso.

Check Point Research ha identificado un fallo de seguridad en los dispositivos Kindle que se activaba con un 'ebook' malicioso, que el usuario podría descargar desde cualquier biblioteca virtual, incluida la Kindle Store, a través del servicio de 'autopublicación', o recibir a través del servicio 'envío a kindle' de Amazon.

Si el usuario abre en el Kindle el 'ebook' malicioso, inicia entonces la cadena de 'malware', sin que se necesite ninguna interacción más por su parte. La compañía indica que una de las consecuencias puede ser la eliminación de los libros electrónicos de un usuario o que el Kindle se convirtiera en un 'bot 'malicioso, lo que le permitiría atacar otros dispositivos de la red local del usuario.

Asimismo, y como explica el director técnico de Check Point Software para España y Portugal, Eusebio Nieva, un ciberdelincuente podía tomar el control total del dispositivo y robar cualquier información almacenada en él, desde las credenciales de la cuenta de Amazon hasta la información bancaria.

"Los Kindle, al igual que otros dispositivos del IoT, suelen considerarse inocuos y no se tienen en cuenta como riesgos para la seguridad", apunta Nieva, quien defiende que "todo el mundo debería ser consciente de los ciberriesgos que conlleva el uso de cualquier elemento conectado al ordenador, especialmente algo tan omnipresente como el Kindle de Amazon".

Check Point informó a Amazon de sus hallazgos en febrero de este año, lo que llevó al despliegue de una corrección en la versión 5.13.5 de la actualización del 'firmware' de Kindle en abril de 2021. El 'firmware 'parcheado se instala automáticamente en los dispositivos conectados a Internet.

Fuente DPA.