Kindle em Risco: Livro Malicioso Acessa Contas Amazon

Criminosos digitais têm encontrado novas maneiras de comprometer a segurança de usuários da Amazon. Um ataque recente, revelado na Black Hat Europe em Londres, em 2025, demonstrou como um livro malicioso baixado para um Kindle poderia dar acesso total à conta do usuário.

O pesquisador de cibersegurança, Valentino Ricotta, descobriu vulnerabilidades no software do Kindle, especificamente no teclado virtual e nos elementos de processamento de audiolivros. Essas falhas permitiram que ele acessasse os cookies de sessão da Amazon, que garantem o acesso à conta sem a necessidade de senha.

Ricotta analisou o código de interpretação do Kindle para audiolivros da Audible e encontrou um erro de memória que podia ser explorado. Ao manipular um arquivo de áudio com código malicioso, ele conseguiu roubar os cookies de sessão da Amazon.

Leia também:

ChatGPT Imagens: OpenAI Revoluciona Geração Visual com Novas Funcionalidades e API!

Lilly lança plataforma digital para combater falsificação de Mounjaro e proteger pacientes no Brasil

Google sob investigação da UE por uso de conteúdo online para IA – multa de até 10% da receita em risco!

Durante a demonstração na Black Hat Europe, Ricotta mostrou como essa falha dava acesso direto à conta vinculada. Em seguida, ele explorou uma segunda vulnerabilidade no teclado virtual, que, apesar de ter privilégios elevados, carecia de controles adequados, permitindo o controle total do dispositivo através de outro arquivo malicioso.

O especialista em cibersegurança Javvad Malik, da KnowBe4, alertou os usuários da Amazon para redobrarem a atenção, devido ao aumento de ataques de phishing que exploram o medo de invasões de contas. Esses golpes são especialmente comuns em períodos de alto consumo, como a Black Friday, quando criminosos digitais aproveitam a situação para aumentar o número de vítimas.

Um ataque complexo e em várias camadas foi observado, começando com uma ligação telefônica de alguém se passando pelo “departamento antifraude da Amazon”. A vítima, pressionada e estressada, é convencida de que sua conta foi invadida e, a partir daí, os golpistas podem instalar aplicativos de acesso remoto, roubar credenciais da conta ou induzir transferências financeiras.

“À primeira vista, esse golpe é alarmante, porque ninguém quer ser responsabilizado por compras caras, como iPhones. Isso aumenta a emoção e a urgência, fazendo com que as pessoas ajam de forma menos racional”, explicou Malik.

A Amazon recomenda que os usuários se mantenham informados sobre golpes de falsificação de identidade e sigam suas orientações de segurança.

A boa notícia é que Ricotta agiu de forma responsável, reportando as falhas à Amazon antes da demonstração pública. A empresa corrigiu as vulnerabilidades e recompensou o pesquisador com US$ 20 mil pelo achado crítico.

A Amazon confirmou que todas as vulnerabilidades foram identificadas e corrigidas em todos os dispositivos afetados, que receberam atualizações automáticas.