eBay, scovata una grave vulnerabilità
Brutte notizie per eBay e per i suoi utenti. Nel corso delle ultime ore è infatti emersa online la notizia della scoperta di una grave vulnerabilità sul noto sito di aste online che potrebbe essere sfruttata per distribuire malware, eseguire attacchi di phishing e, dulcis in fundo, rubare i dati degli utenti.
A render nota la cosa sono stati i ricercatori di Check Point. La vulnerabilità permette ad un malintenzionato di creare un negozio online fittizio e di inserire codice JavaScript nella descrizione degli oggetti. I filtri utilizzati da eBay controllano i tag HTML e bloccano l’esecuzione degli script ma questo metodo di prevenzione non funziona se viene sfruttata la tecnica JSFUCK, grazie alla quale il codice JavaScript scaricato da un server remoto non viene bloccato dai filtri.
Per mettere a segno l’attacco è tuttavia necessario ingannare l’utente che visita le pagine del negozio con il browser o le app eBay.
Il problema è stato segnalato ad eBay il 15 dicembre del 2015 ma un mese dopo il sito d’aste ha risposto che la vulnerabilità in oggetto non è stata e non verrà risolta poiché la probabilità di trovare codice infetto sulla piattaforma è estremamente basso.
Il sito d’aste ha inoltre dichiarato che sono stati implementati numerosi filtri di sicurezza per rilevare eventuali exploit ma sino ad ora non sono state scoperte attività fraudolente che sfruttano la vulnerabilità in oggetto. Inoltre, il numero di annunci che contengono codice infetto risulta essere estremamente basso, circa due su un milione.
Come si evolverà di preciso la situazione non è molto chiaro ma, in base a quanto dichiarato dall’azienda californiana, è abbastanza probabile che per il momento eBay decida di continuare per la sua strada lasciando via libera al bug.
[Photo Credits | Ken Wolter / Shutterstock.com]
Via | Ars Technica