Amazon behebt XSS-Sicherheitslücke [Update]
Update 24. September 2014: Nachdem unser Bericht online gegangen ist, hat sich die Nachricht wie ein Lauffeuer verbreitet und viele größere Nachrichtenseiten haben das Thema aufgegriffen.
Das dürfte dann wohl auch der Grund gewesen sein, weshalb Amazon das Problem innerhalb eines Tages (!) behoben hat. Das lässt sich im Blog des Finders nachlesen.
In jedem Fall ist die nun flott behobene Sicherheitslücke bei Amazon positiv zu bewerten, auch wenn das Ganze den Umweg über die Medien gehen musste, um zeitnah korrigiert zu werden. Da ist die ursprüngliche E-Mail zur Meldung des Fehlers wohl an irgendeiner Stelle verloren gegangen.
Damit ist die Gefahr für Amazon Kunden gebannt, die ihre eBooks aus dubiosen Quellen beziehen. Ein Freifahrtsschein für piratierte eBooks ist das allerdings nicht, denn wie sich an diesem Beispiel gezeigt hat, kann sich ein Hacker mit ausreichend krimineller Energie und dem richtigen Know How schnell Zugriff auf nicht perfekt gesicherte Systeme bekommen. Und wie man inzwischen wissen sollte, jede Software ist auf die eine odere andere Art anfällig für Fehler und Sicherheitslücken. In jedem Fall lohnt es sich also weiterhin ein wachsames Auge auf Dateien zu haben, (insbesondere wenn sie aus nicht aus offiziellen Quellen stammen) sowohl als Kindle-Nutzer als auch als Besitzer eines anderen eBook Readers.
Sicherheitslücke: Vorsicht bei Kindle-eBooks aus dubiosen Quellen
Originalmeldung 15. September 2014: Dass man beim Herunterladen von Dateien aus dem Internet grundsätzlich ein wachsames Auge haben sollte, ist mittlerweile auch unter weniger gut informierten Personen kein Geheimnis mehr. Umso mehr wenn die Dateien aus nicht vertrauenswürdigen Quellen stammen. Es kommt aber dennoch immer wieder vor, dass Daten per Virus bzw. Trojaner oder Sicherheitslücken bzw. Passwortklau ausgespäht werden oder sonstiger Schaden angerichtet wird.
Nun wurde ich vor wenigen Tagen darauf hingewiesen, dass es auch bei Amazon eine (eigentlich alte) Sicherheitslücke gibt, die bei der Nutzung der Kindle Bibliothek auf der Homepage des Versandriesen dazu führen kann, dass ein Angreifer Zugriff auf das Benutzerkonto des Opfers bekommt.
Es handelt sich um kein neues Problem: Die Rede ist von einer XSS-Vulnerabilität, die es Angreifern erlaubt, mit speziell präparierten eBooks (ein Javascript wird z.B. per Title-Metadaten eingepflegt) das Kundenkonto eines Nutzers auszuspähen oder sonstigen Schaden anzurichten. Das klappt allerdings nicht ganz ohne Zutun des Kunden, denn dieser muss das entsprechende eBook auch in sein Kindle-Konto laden.
Kein Problem bei Amazon-eBooks, vorsicht bei Fremdangeboten
Wie bereits erwähnt, bestand das Problem vor Überarbeitung der Kindle-Homepage schon einmal. Damals hat Amazon nach Meldung des Fehlers innerhalb von vier Tagen reagiert und das Problem nach weniger als einem Monat behoben. Die neuerliche Meldung erfolgte nun bereits vor rund zwei Monaten, wobei der Onlinehändler laut Aussage des Bug-Finders bisher aber weder auf die Fehlermeldung geantwortet, noch das Problem behoben hat.
Was bedeutet das für Kindle Nutzer? Für Personen die ohnehin nur bei Amazon einkaufen, ist diese Sicherheitslücke nicht problematisch. Jene Kindle-Nutzer die allerdings gerne sonstige Internetquellen (insbesondere piratierte eBooks) nutzen, sollten jedoch besonders genau hinschauen (oder es gleich sein lassen) und extern geladene eBooks bis zur Schließung der Sicherheitslücke besser nicht in die Cloud laden. Wenn betroffene Dateien ausschließlich lokal am Gerät genutzt werden, sollte es keine Probleme geben. Aber auch wenn das momentane Schadenspotential damit begrenzt ist, wäre es natürlich vorteilhaft, wenn der Fehler möglichst schleunigst behoben wird.
Cross-Site-Scripting (XSS) ist übrigens nicht nur gerade bei der Kindle Bibliothek ein Problem, sondern ganz generell gibt es immer wieder Fälle von solchen Sicherheitslücken. Auf der Homepage des Bug-Finders wird auch darauf hingewiesen, dass Calibre das gleiche Problem besitzt – zumindest bis einschließlich Version 1.7. Dort wurde das Problem aber sofort behoben, sodass die XSS-Vulnerabilität mit Version 1.8 nicht mehr besteht. Nutzer des beliebten eBook-Verwaltungsprogramms die bisher noch kein Update durchgeführt haben, sollten das deshalb schleunigst nachholen. Aktuell ist Calibre bereits in Version 2.3.0 verfügbar.