Grave vulnerabilità su eBay, attenzione ai negozi

I ricercatori di Check Point hanno scoperto una grave vulnerabilità sul noto sito di aste online che potrebbe essere sfruttata per distribuire malware, eseguire attacchi di phishing e rubare i dati degli utenti. Il problema è stato segnalato all’azienda californiana il 15 dicembre 2015, ma un mese dopo eBay ha risposto che la vulnerabilità non verrà risolta, in quanto la probabilità di trovare codice infetto sulla piattaforma è molto basso.

Il bug individuato da Check Point permette ad un malintenzionato di creare un negozio online fittizio e inserire codice JavaScript nella descrizione degli oggetti. I filtri utilizzati da eBay controllano i tag HTML e bloccano l’esecuzione degli script, ma questo metodo di prevenzione non funziona se viene sfruttata la tecnica JSFUCK, grazie alla quale il codice JavaScript scaricato da un server remoto non viene bloccato dai filtri. Per mettere a segno l’attacco è necessario però ingannare l’utente che visita le pagine del negozio con il browser o le app eBay.

È possibile, ad esempio, visualizzare sullo smartphone un messaggio relativo ad alcuni sconti, per i quali occorre scaricare un’applicazione. Se l’utente effettua il download, il malware verrà installato sul dispositivo. Lo stesso “trucco” può essere utilizzato per rubare le credenziali di accesso.

eBay ha dichiarato che sono stati implementati vari filtri di sicurezza per rilevare eventuali exploit. In ogni caso, secondo l’azienda statunitense, non sono state scoperte attività fraudolente che sfruttano la vulnerabilità. Inoltre, il numero di annunci contenenti codice infetto sono molto rari (circa due su un milione). Check Point afferma però che il bug non è stato ancora risolto.