Amazon-Sicherheitslücke verdeutlicht Gefahr durch illegale eBooks

Mittlerweile sollten eigentlich alle Internetnutzer wissen, dass das Herunterladen von raubkopierten Dateien nicht nur aus rechtlichen Gründen gefährlich ist. Man kann schließlich nie wissen, ob ein Hacker die Daten mit einem Virus oder Trojaner versehen hat.

Dieses Risiko wurde vor kurzem wieder einmal bestätigt, als bekannt wurde, dass eine Sicherheitslücke bei Amazon einem potenziellen Angreifer unter gewissen Voraussetzungen die Möglichkeit gab, auf das Benutzerkonto des Opfers zuzugreifen. Mittlerweile hat der Versandgigant diese Schwachstelle behoben. Dennoch demonstriert der Vorfall, dass das Herunterladen von illegalen eBooks nicht nur für die Verlagsbranche negative Auswirkungen hat – sondern auch für den Nutzer selbst.

Die Schwachstelle wurde von Benjamin Daniel Mussler entdeckt und ermöglichte einen XSS-Angriff. Hierdurch konnte ein Angreifer über eBook-Metadaten – wie z.B. den Titel eines eBooks – einen Schadcode in das entsprechende Benutzerkonto injizieren, womit er Zugang zu wichtigen Daten erlangen konnte.

Doch ganz ohne fremde Hilfe wäre ein potenzieller Hacker nicht ausgekommen. Denn die Einpflanzung eines Schadcodes war nur in dem Fall möglich, dass ein Kunde ein eBook mit einem manipulierten Titel herunterlädt – was meist auf weniger vertrauenswürdigen Webseiten oder bei illegalen eBooks geschieht – und es dann in seiner Kindle-Bibliothek hochlädt.

Die Sicherheitslücke war kein neues Problem. Bereits im November letzten Jahres hatte Mussler dieses Problem erkannt und Amazon gemeldet. Damals hatte der Versandriese schnell reagiert und die Schwachstelle in weniger als einem Monat behoben. Nachdem die Webanwendung „Mein Kindle“ neu aufgesetzt wurde, trat die Sicherheitslücke allerdings erneut auf. Wieder hatte Mussler Amazon darauf hingewiesen und Anfang letzter Woche wurde die Sicherheitslücke abermals geschlossen.

Obwohl nun von der Schwachstelle keine Gefahr mehr ausgeht, verdeutlicht der Vorfall die Risiken, die mit dem Herunterladen von Raubkopien bzw. von dubiosen Quellen ausgehen. Die Benutzerkonten derjenigen Kunden, die sich beim Download ihrer eBooks auf Amazons App Store beschränkten, waren keiner Gefahr ausgesetzt.

Das sollte allen Nutzern zu denken geben, die davon ausgehen, dass sie durch kostenfreie Raubkopien Geld sparen können. Denn ganz unabhängig von den rechtlichen Hintergründen kann der Preis, den man letztendlich bezahlt, wenn der Computer mit Malware infiziert ist oder Hacker Zugriff auf Bankinformationen erlangen, weitaus höher ausfallen.

Picture Credits: ©Daniel Sancho/Flickr

Autor , We Live Security