Pozwalała ona na uzyskanie pełnego dostępu do czytnika, w tym danych dostępowych do naszego konta Amazon (co z kolei pozwalało na robienie zakupów na nasz koszt jeśli mieliśmy przypisane do konta karty płatnicze).

Jak to działało? Atakujący przesyłał ebooka na mail naszego czytnika (jako nadawcę podając naszego własnego maila lub maila księgarni). Dalej ciekawski użytkownik go otwierał i klikał w łącze znajdujące się w spisie treści. To z kolei otwierało w przeglądarce stronę internetową ze specjalnym plikiem JPEG XR, który wykonywał na naszym czytniku złośliwy kod.

Amazon dziurę załatał w oprogramowaniu oznaczonym numerkiem 5.13.4 wypuszczonym w grudniu zeszłego roku. Ponadto w tym roku zaczął też prosić użytkowników o każdorazowe potwierdzanie przesyłek odbieranych z "fałszywych" adresów (np. kiedy w księgarni ustawiliśmy nasz email jako adres nadawcy przesyłek z kupionymi ebookami).

Źródło: Świat Czytników