Inyección de contenido en Kindle FireOS

Una vulnerabilidad en FireOS permite realizar ataques “man-in-the-middle” para revelar información sensible sobre el dispositivo o inyectar contenido malicioso aprovechando llamadas no aseguradas (sin HTTPS) del sistema operativo.

FireOS es un sistema operativo basado en Android utilizado en dispositivos Kindle Fire de Amazon. La vulnerabilidad, que afecta a la versión v5.3.6.3, reside en una llamada no asegurada con HTTPS a los “términos de uso y política de privacidad”. Y permitiría inyectar contenido arbitrario o revelar información sensible (como el número de serie del dispositivo) a través de un ataque MITM.

La vulnerabilidad ha sido etiquetada como CVE-2019-7399 y ya se encuentra solucionada en la versión v5.3.6.4.