Il problema sarebbe presente da mesi, almeno dallo scorso ottobre, anche se fino ad oggi nessuno ne aveva parlato apertamente: gli account Amazon legati a un device Kindle, quelli usati per acquistare beni fisici ed elettronici e per sincronizzare i contenuti tra diversi dispositivi, sono vulnerabili ad un attacco tramite ebook . Se i metadati di un libro vengono modificati per includere un link a uno script malevolo può succedere di tutto all’account Amazon: chiunque può impossessarsene e fare quello che vuole di informazioni e carta di credito in esso contenuti, almeno fino a quando non venga scoperto.
La vulnerabilità risiede nel modo in cui Amazon gestisce i metadati, in particolare il titolo di un libro o il suo autore, nel momento in cui un utente carichi un ebook
sulla piattaforma cloud essendoselo procurato altrove: una procedura comune che semplifica non di poco la gestione del materiale, soprattutto per chi ha diversi lettori o utilizza diversi tipi di device oltre al Kindle (per esempio smartphone e tablet) per dedicarsi alla lettura. Quando si schiaccia il pulsante per inviare il libro al proprio device scatta la trappola: se qualcuno ha inserito una stringa del tipo script src=https://www.example.org/script.js nel campo destinato al titolo o al nome dell’autore, il codice reperibile all’indirizzo specificato viene eseguito. A quel punto può succedere di tutto.
La questione si fa spinosa perché questa informazione si sta diffondendo in rete, e ci sono ottime possibilità che qualcuno decida di modificare i libri conservati in archivi non propriamente legali (non mancano gli ebook disponibili su Torrent, tanto per fare un esempio) per sfruttare la debolezza del Kindle. Pertanto, chiunque decida di approfittare della “gratuità” di questi metodi non convenzionali per l’approvvigionamento di libri e manuali potrebbe dover fare i conti con questa insidia. E il numero di utenti che si dedica alla pirateria elettronica libraria pare sia in crescita: non a caso Harper Collins ha iniziato a “marchiare” i propri volumi digitali con un nuovo tipo di watermark , invisibile per il lettore ma perfettamente rintracciabile in rete. L’editore potrà quindi risalire all’origine della distribuzione su canali “alternativi” dei propri titoli, anche e soprattutto nel caso un testo non ancora pubblico venga fatto circolare prima della data stabilita.
In queste ore, a ogni modo, quello dei metadati degli ebook non è l’unico grattacapo che Amazon sta affrontando per quanto riguarda la sua vendita di libri in formato alternativo: anche il servizio Audible , l’ombrello sotto il quale l’azienda di Seattle distribuisce audiolibri, pare affetto da qualche difetto di gestione delle sottoscrizioni, tanto da consentire l’acquisto di volumi e sottoscrizioni senza che venga verificata la bontà dei dati inseriti per il pagamento. La scoperta l’ha fatta un giovane utente indiano, Alan Joseph, ma Amazon al riguardo ha voluto fare una precisazione : in questo caso non sarebbe tanto una questione di sicurezza, quanto piuttosto di truffa perpetrata ai danni del servizio. E, come tale, sarà trattata in tutti i casi in cui venga identificata.
Luca Annunziata
Ti potrebbe interessare
17 set 2014