Benjamin Daniel Mussler, di professione consulente per la sicurezza, ha scoperto una falla nel sito di Amazon che potrebbe consentire agli hacker di ottenere l'accesso agli account. Mussler dice che la Libreria online del Kindle su Amazon è vulnerabile a script pericolosi nascosti negli ebooks. In pratica, un hacker può inserire un apposito codice in JavaScript (linguaggio di programmazione) nei metadati di un eBook ed essere così in grado di accedere ai file memorizzati localmente sul computer dell'utente. Gli eventi allarmanti che segnalano un possibile attacco sono improvvise finestre pop-up che si aprono su Amazon.
"… con vulnerabilità di questo tipo c'è la possibilità (da parte di un hacker) di ottenere l'accesso agli account Amazon attivi", scrive Mussler nel suo blog. Ma come si sviluppa l'attacco? Avendo un ebook infettato dallo script malevolo, il codice è eseguito non appena la vittima apre la pagina web della Libreria Kindle. Come risultato, i cookies dell'account Amazon sono accessibili e trasferiti all'hacker e l'account Amazon della vittima può essere compromesso (i cookies sono piccoli file che tutti i siti che visitiamo ci lasciano sul computer e contengono informazioni relative al sito stesso).
Secondo Mussler, inoltre, Amazon è stata informata della falla di sicurezza nel mese di novembre 2013, ma la falla deve ancora essere riparata.
Quando il consulente per la sicurezza ha informato gli sviluppatori del programma open source eBook Calibre circa lo stesso problema, è stato risolto in poche ore. Calibre è un programma deputato alla conversione di vari formati di testo in ebook e quindi può, evidentemente, ripulire i file dagli script malevoli durante la fase di conversione.
È parere di Mussler che i Libri acquistati attraverso il negozio di Amazon è improbabile che contengano virus, script o altri elementi dannosi.
Invece è più probabile infettarsi quando si utilizzano eBooks pirata che vengono caricati nella Libreria Kindle dell'utente. Ecco quindi un altro buon motivo per non scaricare ebooks pirata da siti web non ufficiali.