Ejecución de código en Amazon Kindle Touch con solo visitar una web

unque su uso es esencialmente la lectura de e-books, desde la tercera generación (actualmente va por la cuarta) de Kindle, los dispositivos están dotados entre otras funcionalidades de un navegador que permite la navegación por Internet a través de conexión WiFi, no así a través de 3G.

En la versión 5.1.0 del firmware de este dispositivo se introdujo la arquitectura para plugins NPAPI a través de la librería /usr/lib/libkindleplugin.so. Esta da la posibilidad que incluir plugins en el motor WebKit del navegador.

Un usuario de mobileread.com bajo el nick de eureka descubrió que, a través de una llamada a la función lipc-set-prop de esta librería incrustada en un sitio web se podía ejecutar comandos de shell con permisos de root de forma remota. Un atacante que diseñara una página web maliciosa y convenciera a un usuario para que accediera a ella podría tomar el control del dispositivo.

El sitio alemán dedicado a la seguridad Heise Security ha publicado una demostración de la posible explotación de esta vulnerabilidad. En esta, visitan un sitio web diseñado especialmente para mandar el comando shutdown-r now al dispositivo, forzando su reinicio. Aseguran también haber conseguido acceder al contenido del directorio /etc/shadow/, donde se guarda el hash de la contraseña de root, y haberlo copiado a un servidor remoto para posteriormente descifrarlo.

http://www.heise.de/video/artikel/Sicherheitsluecke-bei-Amazons-Kindle-Touch-1641625.html

Esta vulnerabilidad se está aprovechando de forma activa. Existen sitios web que ofrecen la liberación del dispositivo simplemente visitando un enlace. Aún no hay indicios de que se esté utilizando la vulnerabilidad para otros usos fraudulentos, pero en teoría podría permitir desde el robo de credenciales de la cuenta de Amazon asociada al dispositivo, hasta la compra de contenidos bajo cuentas ajenas... pasando por la unión del dispositivo a una botnet.

El propio eureka recomienda la desactivación de la librería libkindleplugin.so a través de la ejecución del siguiente comando por sesión SSH:

mntroot rw && mv /usr/lib/browser/plugins/libkindleplugin.so /usr/lib/browser/plugins/libkindleplugin.so.disabled && mntroot ro && killall wafapp

Parece ser que el resto de dispositivos Kindle no están afectados por la vulnerabilidad. Por otra parte, esta ya ha sido corregida en la versión 5.1.1 del firmware para Kindle Touch.

Más información:

[Kindle Touch] Scriptable browser plugin included in 5.1.0 [Inglés] http://www.mobileread.com/forums/showthread.php?t=175368

Sicherheitslücke und Jailbreak bei Amazon Kindle Touch [Alemán] http://www.heise.de/security/meldung/Sicherheitsluecke-und-Jailbreak-bei-Amazon-Kindle-Touch-1636888.html

Jailbreak for KT 5.1.0 [Inglés] http://jailbreak-kt.tk/