eBay-bug laat malware-injecties toe
De populaire veilingsite eBay is kwetsbaar voor phishing en malware. Dat ontdekte beveiligingsfirma Check Point. Dat bedrijf spreekt van een ernstig lek, dat eBay desalniettemin nog niet verholpen heeft. Het bedrijf werd echter op 15 december vorig jaar al door Check Point op de hoogte gesteld van de kwetsbaarheid.
Het gevaar schuilt in de mogelijkheid om actieve content toe te voegen aan veilingpagina’s in eBay. Een crimineel kan die content misbruiken om malware te injecteren of accountgegevens te verkrijgen. De kwetsbaarheid bestaat op de desktop en de mobiele versie van de site. Concreet kan het Java-block van de website omzeilt worden met de JSFUCK-techniek. Java of iframe-items zijn niet toegestaan op de eBay, maar slim gebruik van toegelaten code kan andere, illegale code van een server oproepen om zo alsnog Java te misbruiken.
Pop-ups
Hackers kunnen die code toevoegen aan een koopje waardoor er een pop-up verschijnt die je bijvoorbeeld een promotie aanbiedt. Om van die promotie te genieten, moet je wel eerst inloggen met je Google-account. Op een mobiel toestel kan je als gebruiker dan weer verrast worden door een melding die je de kans geeft een gratis app te installeren. Die app kan vervolgens je persoonlijke gegevens stelen.
In bovenstaande Youtube-video demonstreert Checkpoint hoe een nietsvermoedende gebruiker verrast kan worden door een erg legitiem ogende pop-up. eBay zelf denkt dat de kwetsbaarheid te beperkt is om aan te pakken. Aan ArsTechnica vertelde de veilingsite wel dat er samengewerkt wordt met Check Point voor de implementatie van filters. eBay wijst er op dat amper twee items per miljoen op z’n website de mogelijkheid voor het toevoegen van actieve content misbruiken.
eBay gaat voorlopig dus geen drastische maatregelen nemen om de bug voor eens en voor altijd te verpletteren. Ben je op zoek naar iets op de site, en springt er een interessante pop-up naar boven, wees dan voorlopig bijzonder argwanend, download geen apps en geef al zeker geen persoonlijke gegevens in.