Usuários da Amazon são sempre um alvo preferencial para criminosos digitais. Normalmente, os ataques de phishing são os que ganham as manchetes. Mas e se eu dissesse que o seu Kindle poderia ser usado para obter acesso total à sua conta Amazon por meio do download de um livro malicioso? Veja os detalhes sobre o hack crítico do Kindle apresentado na Black Hat Europe, em Londres.
Hacker Cria Livro Malicioso Para Invadir Contas Amazon
A conferência Black Hat Europe é conhecida por revelar surpresas de segurança, e a edição de 2025, realizada em Londres, não foi diferente. Um pesquisador de cibersegurança demonstrou como era possível invadir uma conta Amazon explorando falhas críticas no Kindle. O mais surpreendente: bastava o download de um livro malicioso carregado no leitor digital.
Valentino Ricotta, analista de engenharia na empresa de defesa e segurança Thales, descobriu vulnerabilidades graves no software do Kindle — especificamente no teclado virtual e nos elementos de processamento de audiolivros. Essas falhas permitiram que Ricotta acessasse cookies de sessão da Amazon, que garantem acesso a uma conta já autenticada sem necessidade de senha ou outra verificação.
O pesquisador analisou o código de interpretação do Kindle para audiolivros da Audible e encontrou um erro de memória que podia ser explorado caso um arquivo de áudio fosse manipulado com código malicioso.
Uma vez acionada, a falha permitia roubar os cookies de sessão da Amazon. Segundo o site Cybernews, Ricotta demonstrou ao vivo, no palco da Black Hat Europe, como isso dava acesso direto à conta vinculada. Em seguida, encadeou uma segunda vulnerabilidade crítica, desta vez no teclado virtual, que possuía privilégios elevados mas sem controles adequados, permitindo assumir o controle total do Kindle por meio de outro arquivo malicioso.
Medo Explorado
O especialista em cibersegurança Javvad Malik, da empresa KnowBe4, alertou usuários da Amazon para redobrarem a atenção, já que foi observado um aumento de ataques de phishing explorando o medo de invasões de contas. Esse tipo de golpe não é novidade, mas criminosos digitais aproveitam especialmente períodos de alto consumo, como a Black Friday.
Ataques envolvendo o PayPal já foram confirmados, e cerca de 300 milhões de usuários da Amazon estiveram em risco durante as promoções recentes. Agora, os clientes da Amazon voltam ao foco: Malik descreveu um ataque complexo e em várias camadas, que começa com uma ligação telefônica de alguém se passando pelo “departamento antifraude da Amazon”.
A vítima, pressionada e estressada, é convencida de que sua conta foi invadida. A partir daí, os golpistas podem instalar aplicativos de acesso remoto, roubar credenciais da conta ou até induzir transferências financeiras, tudo sob o pretexto de “resolver o problema”.
“À primeira vista, esse golpe é alarmante, porque ninguém quer ser responsabilizado por compras caras, como iPhones. Isso aumenta a emoção e a urgência, fazendo com que as pessoas ajam de forma menos racional”, explicou Malik.
A Amazon recomenda que os usuários se mantenham informados sobre golpes de falsificação de identidade e sigam suas orientações de segurança.
Amazon Confirma Correção Automática em Todos os Dispositivos Afetados
A boa notícia é que Ricotta agiu de forma responsável. Ele já havia participado da competição Pwn2Own e reportou as falhas à Amazon antes da demonstração pública. A empresa corrigiu as vulnerabilidades e recompensou o pesquisador com US$ 20 mil pelo achado crítico.
Em comunicado oficial, a Amazon declarou:
“Identificamos e corrigimos vulnerabilidades que afetavam os leitores Kindle e a funcionalidade Audible nesses dispositivos. Todos os aparelhos impactados receberam atualizações automáticas para resolver os problemas. Agradecemos aos pesquisadores de segurança que nos ajudam a manter altos padrões de proteção para nossos clientes.”
