Los ataques XSS (cross-site scripting) llevan tiempo siendo una amenaza a la hora de utilizar sitios Web para, por ejemplo, robar cookies y capturar así una sesión en un sitio Web. Y existe una vulnerabilidad en Amazon.com que permite que un libro en nuestro Kindle pueda transferir nuestras credenciales a alguien con malas intenciones.
El mecanismo es realmente simple: si un libro electrónico tiene por título algo como `
`, la Web de Amazon ejecutará ese script, por lo que la cookie que almacena la sesión podrá ser transferida a otro servidor. Basta hacer que un usuario descargue ese libro y lo guarde en su aparato. Curiosamente esta vulnerabilidad ya había sido corregida, pero Amazon la volvió a abrir cuando actualizó su aplicación. De hecho hace unos días fue reportada, y todavía no existe respuesta.
El blog B.FL7.DE ha publicado, incluso, un libro electrónico en formato MOBI con el que probar si la vulnerabilidad sigue siendo tal. Cada cuadro emergente, además, es una posibilidad de que la cookie sea transmitida. Nuestra recomendación es que pongamos atención a los libros que guardemos en nuestro lector de libros electrónicos, al menos si queremos evitar las sorpresas desagradables.
Más información | The Digital Reader | B.FL7.DE
En Genbeta | Algunos conceptos básicos de seguridad informática que deberías conocer
Ver 7 comentarios