Une vulnérabilité sérieuse dans la plate-forme de vente d'eBay vient d'être exposée par des recherches de sécurité Check Point. La vulnérabilité permet à des attaquants afin de contourner la validation de code d'eBay. Par conséquent, les attaquants peuvent contrôler le code à distance et exécuter du code JavaScript malveillant sur les utilisateurs eBay. Plus la vulnérabilité reste non corrigée, plus il est probable pour les utilisateurs d'eBay de devenir victimes d'attaques de phishing et le vol de données.
Plus à lire: PayPal Correction d'un code à distance Bug
Malheureusement, eBay n'a rien fait pour résoudre ce grave faille de sécurité. Check point eBay contacté le déc 15, 2015. Quelques semaines plus tard, eBay leur a répondu qu'ils ne prévoyaient pas de réparer la faille. Il est naturel de se demander pourquoi.
La vulnérabilité eBay en détail
Le chercheur qui a découvert la faille est romaine Zaikin. Il a révélé que la faille permet aux pirates d'exécuter du code malveillant sur différents appareils via une technique pas si typique connu sous le nom « JSF ** ». La technique donne des acteurs malveillants la possibilité d'utiliser eBay comme un site de phishing et une plate-forme de distribution des logiciels malveillants.
Voici comment le script JSF ** ressemble. Source: Check point
Pour lancer une attaque, l'attaquant n'a besoin que de créer une boutique en ligne eBay. Là, il peut simplement poster une description malveillante d'un élément. Même si eBay est conçu pour empêcher les utilisateurs d'utiliser des scripts ou des iFrames, en utilisant la technique k JSF **, les attaquants est permis d'écrire un code qui charge un code supplémentaire JS de son serveur. Par conséquent, l'attaquant peut insérer JavaScript et le contrôle à distance. Il peut également modifier le code JS pour créer diverses charges utiles.
C'est ce que Oded Vanunu, Groupe de recherche sur Security Manager chez Check Point, a dit:
Le flux d'attaque eBay fournit des cybercriminels un moyen très facile de cibler les utilisateurs: l'envoi d'un lien vers un produit très attrayant pour exécuter l'attaque. La principale menace se répand les logiciels malveillants et le vol des informations privées. Une autre menace est qu'un attaquant pourrait avoir une option de connexion alternative pop via Gmail ou Facebook et pirater le compte de l'utilisateur.
En réponse à la divulgation de la vulnérabilité, eBay a déclaré qu'il n'a pas trouvé une activité frauduleuse basée sur la faille. En outre, un porte-parole d'eBay a également déclaré que différents filtres de sécurité ont été mises en œuvre. Pas plus de détails sur les corrections d'eBay ont été fournis.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: