Веб-обозреватель Silk, который является штатным браузером на устройствах Amazon Kindle и Fire, имеет несколько критических уязвимостей, позволяющих хакерам осуществлять довольно серьезные атаки. Это стало известно со слов специалистов из Nightwatch Cybersecurity.
Они предупредили пользователей о том, что использование старых версий веб-обозревателя может повлечь за собой крайне негативные последствия. Как оказалось, злоумышленники могут использовать дыры в браузере, которые открывают возможности для осуществления так называемых атак типа «человек посередине». Кроме этого, Silk не учитывает во время работы стандарты SSL, которые используются для осуществления безопасного поиска в системе Google.
По словам исследователей по безопасности, все версии браузера, которые вышли ранее Silk 51,2.1, так и не научились работать с протоколом HTTPS. Вместо него по-прежнему все запросы пользователей обрабатываются и отрываются с помощью протокола HTTP, который на сегодняшний день уже считается менее надежным. Кстати, поисковик Google в случае обращения к нему по протоколу HTTP, автоматически перенаправляет на HTTPS, но, как оказалось, веб-обозреватель блокирует такие редиректы.
Стоит отметить, что редирект на HTTPS не работает только по отношению к основной версии Google, то есть google.com. Если же пользователь пользуется региональной версией поисковика, то есть, например, google.ru, то редирект на HTTPS работает нормально. В Nightwatch Cybersecurity объясняют, что к такой проблеме могла привести какая-то ошибка общего характера.
В связи с нарушением работы SSL, запросы пользователя передаются практически в открытом виде. Это увеличивает шансы мошенников для осуществления успешной атаки man-in-the-middle. Возможен также полный перехват трафика пользователя. Как отмечают эксперты, одни только поисковые запросы человека уже могут много чего о нем рассказать, не говоря уже об истории браузера. Особенно ценится такая информация у рекламщиков, которые в дальнейшем ее используют для персонализации рекламного контента.
Компания Amazon уже позаботилась об устранении выявленных уязвимостей, но никаких комментариев по этому поводу не предоставила. Так что пользователям, которые хотят себя обезопасить, рекомендуется обновить свой браузер Silk до версии 51.2.1.
Отметим, что штатный обозреватель, используемый на устройствах Amazon, уже не первый раз подвергается критике со стороны экспертов по интернет-безопасности. Так, 5 лет назад компания решила применить технологию облачного браузинга, за что на нее свалилась волна критики. Для реализации своей идеи американцы использовали мощности собственного облачного хранилища Amazon Elastic Compute Cloud. Делалось это для того, чтобы снизить нагрузку, оказываемую на пользовательские устройства во время поиска, и ускорить работу сетевых ресурсов. Получилось, что практически вся основная активность владельцев устройств Amazon проходила через облако. То есть перед тем, как информация поступала пользователям, она обязательно проходила через Amazon Elastic Compute Cloud. Это открывало дополнительные возможности для атак. Причем жертвой мог стать не обязательно один пользователь, их могло быть сотни, а то и тысячи, что, безусловно, оказалось бы на руку злоумышленникам.