Luca Annunziata

Attento a cosa leggi sul Kindle

Un bug scovato nel modo in cui Amazon gestisce i metadati degli ebook potrebbe compromettere la sicurezza del proprio account. Un problema per chi scarica libri da repository non ufficiali

Roma - Il problema sarebbe presente da mesi, almeno dallo scorso ottobre, anche se fino ad oggi nessuno ne aveva parlato apertamente: gli account Amazon legati a un device Kindle, quelli usati per acquistare beni fisici ed elettronici e per sincronizzare i contenuti tra diversi dispositivi, sono vulnerabili ad un attacco tramite ebook. Se i metadati di un libro vengono modificati per includere un link a uno script malevolo può succedere di tutto all'account Amazon: chiunque può impossessarsene e fare quello che vuole di informazioni e carta di credito in esso contenuti, almeno fino a quando non venga scoperto.

La vulnerabilità risiede nel modo in cui Amazon gestisce i metadati, in particolare il titolo di un libro o il suo autore, nel momento in cui un utente carichi un ebook sulla piattaforma cloud essendoselo procurato altrove: una procedura comune che semplifica non di poco la gestione del materiale, soprattutto per chi ha diversi lettori o utilizza diversi tipi di device oltre al Kindle (per esempio smartphone e tablet) per dedicarsi alla lettura. Quando si schiaccia il pulsante per inviare il libro al proprio device scatta la trappola: se qualcuno ha inserito una stringa del tipo script src=https://www.example.org/script.js nel campo destinato al titolo o al nome dell'autore, il codice reperibile all'indirizzo specificato viene eseguito. A quel punto può succedere di tutto.

La questione si fa spinosa perché questa informazione si sta diffondendo in rete, e ci sono ottime possibilità che qualcuno decida di modificare i libri conservati in archivi non propriamente legali (non mancano gli ebook disponibili su Torrent, tanto per fare un esempio) per sfruttare la debolezza del Kindle. Pertanto, chiunque decida di approfittare della "gratuità" di questi metodi non convenzionali per l'approvvigionamento di libri e manuali potrebbe dover fare i conti con questa insidia. E il numero di utenti che si dedica alla pirateria elettronica libraria pare sia in crescita: non a caso Harper Collins ha iniziato a "marchiare" i propri volumi digitali con un nuovo tipo di watermark, invisibile per il lettore ma perfettamente rintracciabile in rete. L'editore potrà quindi risalire all'origine della distribuzione su canali "alternativi" dei propri titoli, anche e soprattutto nel caso un testo non ancora pubblico venga fatto circolare prima della data stabilita.

In queste ore, a ogni modo, quello dei metadati degli ebook non è l'unico grattacapo che Amazon sta affrontando per quanto riguarda la sua vendita di libri in formato alternativo: anche il servizio Audible, l'ombrello sotto il quale l'azienda di Seattle distribuisce audiolibri, pare affetto da qualche difetto di gestione delle sottoscrizioni, tanto da consentire l'acquisto di volumi e sottoscrizioni senza che venga verificata la bontà dei dati inseriti per il pagamento. La scoperta l'ha fatta un giovane utente indiano, Alan Joseph, ma Amazon al riguardo ha voluto fare una precisazione: in questo caso non sarebbe tanto una questione di sicurezza, quanto piuttosto di truffa perpetrata ai danni del servizio. E, come tale, sarà trattata in tutti i casi in cui venga identificata.

Luca Annunziata
9 Commenti alla Notizia Attento a cosa leggi sul Kindle
Ordina
  • Il problema chiaramente non sussiste se i libri procurati in canali "alternativi" vengono caricati sul device via cavo USB.
    iRoby
    6254
  • quel carichi li mi suona male.
    non+autenticato
  • si chiama congiuntivo
    direi che in questa specie di periodi ipotetico ci sta benoneOcchiolino
  • il cookie bug amazon, dico.
    imbarazzante perche' l'avevano fixato ed e' rispuntato, imbarazzante xche non si fa sanitization, imbarazzante xche il furto del cookie di sessione non dovrebbe essere sufficiente per gabbare lu santo.
    non+autenticato
  • consiste nel utilizzare una struttura informatica antidiluviana che risale a 30 anni fa e si chiama cloud!
    Solo un ignorante non è in grado di capire una simile banalità.
    Inoltre uno che vuole leggere un libro se lo leggi per cazz* propri, non serve essere connessi per leggere un libro. Dovere spiegare una cosa simile è di una tristezza infinita.
    non+autenticato
  • - Scritto da: prova123
    > consiste nel utilizzare una struttura informatica
    > antidiluviana che risale a 30 anni fa e si chiama
    > cloud!
    > Solo un ignorante non è in grado di capire una
    > simile
    > banalità.
    > Inoltre uno che vuole leggere un libro se lo
    > leggi per cazz* propri, non serve essere connessi
    > per leggere un libro. Dovere spiegare una cosa
    > simile è di una tristezza
    > infinita

    Infatti guarda che per leggere su un Kindle un libro acquistato non è necessario essere connessi. Ma l'hai mai usato?
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: prova123
    > > consiste nel utilizzare una struttura
    > informatica
    > > antidiluviana che risale a 30 anni fa e si
    > chiama
    > > cloud!
    > > Solo un ignorante non è in grado di capire una
    > > simile
    > > banalità.
    > > Inoltre uno che vuole leggere un libro se lo
    > > leggi per cazz* propri, non serve essere
    > connessi
    > > per leggere un libro. Dovere spiegare una cosa
    > > simile è di una tristezza
    > > infinita
    >
    > Infatti guarda che per leggere su un Kindle un
    > libro acquistato non è necessario essere
    > connessi. Ma l'hai mai
    > usato?
    < nel momento in cui un utente carichi un ebook sulla piattaforma cloud essendoselo procurato altrove: una procedura comune che semplifica non di poco la gestione del materiale, soprattutto per chi ha diversi lettori o utilizza diversi tipi di device oltre al Kindle (per esempio smartphone e tablet) per dedicarsi alla lettura. >

    leggere gli articoli aiuta a migliorare i commentiCon la lingua fuori
    non+autenticato
  • Io si e dalla tua risposta direi che tu no. Per leggere un libro non occorre essere connesi. Per quanto inerente il cloud, chi ti obbliga ad usarlo? Mi domando poi chi è lo scemo che caircherebbe su un sistema intrinsecamente insicuro e spiabile (cloud) libri non correttamente acquistati. Mah ...
  • anche senza caricarselo sul cloud, non mi e' chiaro quanto sia sicuro dagli occhi aguzzi di amazon il mettersi un libro "scaricato" sul kindle, che resta un dispositivo chiuso; immagino che la licenza dica qualcosa sui "documenti privati".
    Ma credo che ad amazon interessi di piu' rendere impossibile acquistare da altri (esattamnete come gli altri fanno ad amazon: notevole esempio di libera concorrenza per le autority varie..); dei libri scaricati artigianalmente credo gli interessi poco, per ora..
    non+autenticato