Drie kwetsbaarheden in de Amazon Kindle e-reader maakten het mogelijk voor aanvallers om op afstand code met rootrechten uit te voeren en inloggegevens van gebruikers te stelen. De enige vereiste is dat een aanvaller het e-mailadres van het slachtoffer weet en die op een link in de inhoudsgave van het e-book klikt.

Kindle biedt de optie "Send to Kindle" waarmee gebruikers e-books naar hun e-reader kunnen mailen. Amazon genereert voor elke gebruiker een apart kindle.com e-mailadres dat voor deze feature is te gebruiken. De e-books mogen alleen van een vooraf opgestelde lijst van e-mailadressen afkomstig zijn. Onderzoeker Yogev Bar-On ontdekte dat het mogelijk is om deze e-mailadressen te spoofen, aangezien er geen e-mailauthenticatie plaatsvindt.

De tweede kwetsbaarheid die Bar-On voor zijn aanval inzet is aanwezig in een library die wordt gebruikt voor het verwerken van jpegXR-afbeeldingen. De library bevat een buffer overflow waardoor het uitvoeren van code mogelijk is. Als laatste ontdekte de onderzoeker een rootproces waarmee hij zijn code kon laten uitvoeren, waardoor deze code met rootrechten werd uitgevoerd.

Door de drie beveiligingslekken te combineren kwam Bar-On tot een effectieve aanval. Die begint door het versturen van een malafide e-book naar het slachtoffer, wat dankzij e-mailspoofing mogelijk is. Het slachtoffer opent een link in de inhoudsopgave. Deze link opent vervolgens in de browser een html-pagina met een kwaadaardige jpegXR-afbeelding. De code wordt verwerkt en vervolgens als root uitgevoerd.

Vervolgens kan een aanvaller de inloggegevens van het Kindle-account stelen en zo aankopen in de Kindle-store doen. Ook was het mogelijk om Kindle e-readers te jailbreaken. Bar-On waarschuwde Amazon op 17 oktober. Op 10 december kwam Amazon met firmware 5.13.4 waarin de kwetsbaarheden met jpegXR en de mogelijkheid tot het verhogen van rechten zijn verholpen. De onderzoeker kreeg voor zijn bugmelding een beloning van 18.000 dollar. Details van de kwetsbaarheden en een demonstratie zijn nu openbaar gemaakt.