Una grave vulnerabilità nella piattaforma di vendita di eBay è stato appena esposto da ricerche di sicurezza di Check Point. La vulnerabilità consente agli aggressori di bypassare il codice di validazione di eBay. Di conseguenza, attaccanti possono controllare il codice da remoto ed eseguire codice JavaScript dannoso sugli utenti di eBay. Più a lungo la vulnerabilità viene lasciato senza patch, il più probabile è per gli utenti di eBay di diventare vittime di attacchi di phishing e furti di dati.
Più leggere: PayPal Corretto un bug di esecuzione codice in modalità remota
Sfortunatamente, eBay ha fatto niente per risolvere questo grave falla di sicurezza. check Point contattato il dic eBay 15, 2015. Un paio di settimane più tardi, eBay li ha risposto che non hanno intenzione di risolvere la falla. È naturale chiedersi perché.
La vulnerabilità di eBay in dettaglio
Il ricercatore che ha scoperto la falla è romano Zaikin. Egli ha rivelato che il difetto consente di eseguire codice dannoso su vari dispositivi tramite una tecnica non così tipico noto come ‘JSF **’. La tecnica dà attori maligni l'opportunità di utilizzare eBay come sito di phishing e di una piattaforma di distribuzione di malware.
Questo è come il JSF ** sguardi script come. Fonte: check Point
Per iniziare un attacco, l'attaccante ha solo bisogno di creare un negozio eBay on-line. Ci, egli può semplicemente inviare una descrizione di un elemento dannoso. Anche se eBay è progettato per impedire agli utenti di utilizzare script o iFrame, usando la tecnica ** k JSF, gli attaccanti è abilitata per scrivere un codice che carica un codice addizionale JS dal suo assistente. Di conseguenza, l'attaccante può inserire JavaScript e controllarlo da remoto. Egli può anche modificare il codice JS per creare vari carichi utili.
Questo è ciò che Oded Vanunu, Security Research Group Manager di Check Point, ha detto:
Il flusso di attacco eBay fornisce i criminali informatici con un modo molto semplice per indirizzare gli utenti: l'invio di un link ad un prodotto molto interessante per eseguire l'attacco. La principale minaccia si sta diffondendo malware e rubare informazioni private. Un'altra minaccia è che un utente malintenzionato potrebbe avere un'opzione di accesso alternativo pop-up tramite Gmail o Facebook e dirottare l'account dell'utente.
In risposta alla divulgazione di vulnerabilità, eBay ha dichiarato che non hanno trovato alcuna attività fraudolenta sulla base del difetto. In aggiunta, Il portavoce di un eBay ha anche detto che i vari filtri di sicurezza sono state attuate. Nessun maggiori dettagli su correzioni di eBay sono stati forniti.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: