继续阅读翻页的pwnage
新研究显示,许多支持开放式EPUB格式的电子阅读系统(电子阅读)系统都有很大的安全漏洞。
EPUB格式主要依赖于XHTML和CSS(级联样式表)来构建电子书,其浏览器引擎通常用于呈现其内容。但是,根据一组研究人员的说法,这给电子书阅读系统提供了类似的漏洞beplay体育能用吗网络浏览器。
根据研究论文(PDF)Gertjan Franken,Tom van Goethem和IMEC-Distrinet研究小组的Wouter Joosen,几乎没有任何JavaScript支持的阅读系统正确地遵守EPUB规范的安全建议。
剧情转折
使用半自动测试床,可用在github上,研究人员发现,检查的97个系统中有16个允许EPUB泄漏有关用户文件系统的信息,并在八个情况下提取文件内容。
他们警告说,攻击者可以通过利用阅读系统实现的特定方面来实现用户系统的全面妥协。
弗兰肯告诉告诉说:“当然,意义取决于所使用的平台;电子阅读器通常不会包含敏感文件,而智能手机可能包含私人图片。”这beplay2018官网。
数百万用户可能会受到影响。
该团队还对Amazon Kindle,Apple Books和Epubreader浏览器扩展程序上最受欢迎的EPUB阅读应用程序进行了手动评估,并发现了许多缺陷。
弗兰肯解释说:“例如,亚马逊Kindle不允许EPUB执行嵌入式JavaScript。然而,创意攻击者可以通过输入验证问题来规避这一点。”
“然后,嵌入式脚本可以利用Kindle过时的Web引擎的公开漏洞,以访问用户库中的文档。”beplay体育能用吗
协调的披露
在Apple Books中也发现了缺陷,可在MacOS上预装,并在视窗Adobe数字版本的版本。
弗兰肯报道说:“幸运的是,亚马逊,苹果和Adobe的开发商对我们的错误报告非常敏感,并且渴望解决这些问题。”
研究人员认为,应通过要求特定用户同意JavaScript执行来加强EPUB的安全要求。
受到推崇的研究人员发现了蓝牙技术中的“模仿攻击”缺陷的新浪潮
弗兰肯总结说:“其次,我们认为关于如何处理开发EPUB阅读应用程序的安全性和隐私方面的实用准则将极大地帮助开发人员。”
“理想情况下,这将包括有关如何正确配置流行浏览器发动机的准则,从而使重要的安全策略阻止EPUB获得过多的(许多]特权。”
弗兰肯(Franken)补充说,研究人员已经与Epub Standard的一位编辑分享了他们的发现,后者承认这些问题。
