En alvorlig sårbarhed i eBays salgsplatform har været lige afsløret af sikkerheds forsker ved Check Point. Sårbarheden gør det muligt for angribere at omgå eBays kodevalidering. Som et resultat, angribere kan fjernstyre koden og udføre ondsindet JavaScript-kode på eBay-brugere. Jo længere sårbarheden efterlades uden opdatering, jo mere sandsynligt er det for eBay-brugere at blive ofre for phishing-angreb og datatyveri.
Mere at Læs: PayPal rettet en fejl til fjernudførelse af kode
Desværre, eBay har ikke gjort noget for at rette op på denne alvorlige sikkerhedsfejl. Check Point kontaktede eBay i december 15, 2015. Et par uger senere, eBay svarede dem, at de ikke planlagde at rette fejlen. Det er helt naturligt at undre sig over hvorfor.
eBays sårbarhed i detaljer
Forskeren, der har opdaget fejlen, er Roman Zaikin. Han afslørede, at fejlen gør det muligt for angribere at udføre ondsindet kode på forskellige enheder via en ikke-så-typisk teknik kendt som 'JSF**'. Teknikken giver ondsindede aktører mulighed for at bruge eBay som et phishing-sted og en malware-distributionsplatform.
Sådan ser JSF**-scriptet ud. Source: Check Point
At indlede et angreb, angriberen behøver kun at oprette en online eBay-butik. Der, han kan simpelthen sende en ondsindet beskrivelse af en vare. Selvom eBay er designet til at forhindre brugere i at bruge scripts eller iFrames, ved at bruge JSF**k teknikken, angriberne er aktiveret til at skrive en kode, der indlæser en ekstra JS-kode fra hans server. Som et resultat, angriberen kan indsætte JavaScript og fjernstyre det. Han kan også ændre JS-koden for at skabe forskellige nyttelaster.
Dette er, hvad Oded Vanunu, Security Research Group Manager hos Check Point, har sagt:
eBay-angrebsstrømmen giver cyberkriminelle en meget nem måde at målrette brugere på: at sende et link til et meget attraktivt produkt for at udføre angrebet. Den største trussel er at sprede malware og stjæle private oplysninger. En anden trussel er, at en angriber kan få en alternativ login-mulighed dukker op via Gmail eller Facebook og kaprer brugerens konto.
Som svar på afsløringen af sårbarhed, eBay har udtalt, at de ikke har fundet nogen svigagtig aktivitet baseret på fejlen. Desuden, en eBays talsmand har også sagt, at forskellige sikkerhedsfiltre er blevet implementeret. Der blev ikke givet flere detaljer om eBays rettelser.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: