Quando você pensa em dispositivos eletrônicos potencialmente vulneráveis a brechas de segurança e usuários mal-intencionados, o Kindle talvez seja um dos últimos aparelhos que vem à sua mente. No entanto, pesquisadores descobriram que o leitor digital da Amazon tinha falhas que permitiam que hackers tomassem o controle do gadget. E isso usando apenas um malware simples disfarçado de e-book.
As falhas foram descobertas e divulgadas pela empresa de segurança Check Point Research. As vulnerabilidades ficaram visíveis na forma como o dispositivo analisa e-books e, se exploradas, podem permitir que os hackers não apenas controlem o Kindle de um usuário, mas também roubem informações confidenciais, como senhas de conta da Amazon ou dados de faturamento. Os invasores também podem excluir toda a biblioteca e livros ou converter o Kindle em um bot que executa ataques a outros dispositivos conectados na mesma rede local.
Por mais improvável que pareça, especialistas em segurança dizem que a facilidade com que um livro pode ser publicado na Kindle Store pode ser um fator decisivo que facilita a entrada de malwares através do e-reader. Isso porque escritores carregam os próprios e-books na loja o tipo todo. Qualquer pessoa que use um leitor digital com frequência dirá que existem várias maneiras de carregar conteúdo não pertencente à Amazon em um Kindle. Logo, ninguém espera baixar um e-book com código malicioso.
“Neste caso, o que mais nos assustou foi o grau de especificidade da vítima em que a exploração poderia ter ocorrido. Naturalmente, as vulnerabilidades de segurança permitem que um invasor atinja um público muito específico”, afirma Yaniv Balmas, chefe de pesquisa cibernética da Check Point Software.
Balmas explica que hackers mal-intencionados podem facilmente visar usuários de um determinado idioma. Tudo o que eles teriam que fazer para atingir, digamos, os romenos, é publicar um livro popular em formato de e-book nesse idioma. Como a maioria das pessoas que baixam esse livro provavelmente falam romeno, um hacker pode ter certeza de que quase todas as vítimas são daquela nacionalidade.
Felizmente, não parece que o exploit foi usado em larga escala. A Check Point diz que revelou as vulnerabilidades da Amazon em fevereiro de 2021, e um patch de correção foi implementado na atualização de firmware do Kindle 5.13.5 pouco tempo depois, em abril. Contanto que seu Kindle tenha acesso à internet desde então, seu aparelho deve estar com o software mais recente.
“Nossa pesquisa demonstra que qualquer dispositivo eletrônico, no final das contas, é uma porta de entrada para invasores. E, como tal, esses dispositivos de Internet das Coisas são vulneráveis aos mesmos ataques que os computadores. Todos devem estar cientes dos riscos cibernéticos de usar qualquer coisa conectada, especialmente algo tão onipresente como o Kindle da Amazon”, concluiu Balmas.