Una grave vulnerabilidad en la plataforma de venta de eBay ha sido simplemente expuesta por investigadores de seguridad de Check Point. La vulnerabilidad permite a los atacantes para eludir la validación del código de eBay. Como resultado, los atacantes pueden controlar el código de forma remota y ejecutar código JavaScript malicioso en los usuarios de eBay. Cuanto más tiempo se deje sin parchear la vulnerabilidad, más probabilidades hay de que los usuarios de eBay se conviertan en víctimas de ataques de phishing y robo de datos.
Más para leer: PayPal solucionó un error de ejecución de código remoto
Desafortunadamente, eBay no ha hecho nada para corregir esta grave falla de seguridad. Check Point se puso en contacto con eBay el diciembre 15, 2015. Un par de semanas después, eBay les respondió que no pensaban corregir el problema. Es natural preguntarse por qué.
La vulnerabilidad de eBay en detalle
El investigador que ha descubierto la falla es Roman Zaikin.. Reveló que la falla permite a los atacantes ejecutar código malicioso en varios dispositivos a través de una técnica no tan típica conocida como "JSF **".. The technique gives malicious actors the opportunity to use eBay as a phishing site and a malware distribution platform.
This is how the JSF** script looks like. Fuente: Check Point
To initiate an attack, the attacker only needs to create an online eBay store. Hay, he can simply post a malicious description of an item. Even though eBay is designed to prevent users from using scripts or iFrames, by using the JSF**k technique, the attackers is enabled to write a code that loads an additional JS code from his server. Como resultado, the attacker can insert JavaScript and control it remotely. He can also alter the JS code to create various payloads.
This is what Oded Vanunu, Security Research Group Manager at Check Point, ha dicho:
The eBay attack flow provides cybercriminals with a very easy way to target users: sending a link to a very attractive product to execute the attack. The main threat is spreading malware and stealing private information. Another threat is that an attacker could have an alternate login option pop up via Gmail or Facebook and hijack the user’s account.
In response to the vulnerability disclosure, eBay has stated that they haven’t found any fraudulent activity based on the flaw. Adicionalmente, an eBay’s spokesperson has also said that various security filters have been implemented. No more details on eBay’s fixes were provided.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme:
