Scoperta grave vulnerabilità su eBay, ma la società non intende rimuoverla

Scoperta grave vulnerabilità su eBay, ma la società non intende rimuoverla

La firma di sicurezza Check Point ha rilevato una grave vulnerabilità su eBay. La società ha però risposto che non ha alcuna intenzione di rimuovere il bug

di pubblicata il , alle 12:01 nel canale Web
eBay
 

Pare che eBay non abbia alcun piano per sistemare una grave vulnerabilità che consente ad eventuali aggressori esterni di utilizzare i certificati trusted del sito per distribuire software malevolo e pagine di phishing. Il bug è stato scoperto da Check Point e consente agli hacker di scavalcare il codice di autenticazione del servizio e controllare la parte del codice vulnerabile da remoto per eseguire script Java malevoli contro gli stessi utenti di eBay.

eBay, lo sappiamo un po' tutti, è uno fra i siti più grandi e celebri al mondo di aste online e di e-commerce. Ha sedi in più di 30 paesi e viene utilizzato da oltre 150 milioni di utenti. Proprio per la sua diffusione il portale è stato vittima nel corso del tempo di numerosi attacchi, ma senza una soluzione all'attuale problema tutti i clienti continueranno ad essere esposti a potenziali attacchi di phishing e furti di dati, stando ai proclami della società di sicurezza.


Exploit della vulnerabilità su eBay, dimostrazione pratica

"Un attacco contro gli utenti eBay potrebbe svolgersi attraverso l'invio di una pagina legittima, che contiene però del codice malevolo", scrive Check Point. "I clienti potrebbero essere ingannati e convinti ad aprire la pagina, e a quel punto il codice verrà eseguito dal browser o dall'app mobile dell'utente, causando diversi inquietanti scenari, che vanno dal phishing al download duplice". ArsTechnica ha spiegato più nel dettaglio il funzionamento del bug e come questo può essere sfruttato.

La vulnerabilità permette di aggirare un limite di eBay che impedisce agli utenti di pubblicare codice JavaScript che può essere eseguito sui dispositivi. Per aggirare le restrizioni imposte da eBay bisogna utilizzare una tecnica "altamente specializzata" nota come JSFUCK, con cui possono essere presi di mira specifici browser su altrettanto specifici dispositivi. Check Point ha notificato i dettagli del bug lo scorso 15 dicembre, ma dopo un mese eBay ha risposto di non essere interessata a rimediare alla falla presente sul sito.

La società sottolinea che il bug di sicurezza non è mai stato sfruttato e che nel corso del tempo sono stati implementati alcuni filtri specifici per il rilevamento di un tentativo di exploit del bug. Attraverso uno scambio di e-mail con il sito americano, eBay assicura agli utenti che l'esperienza d'uso del servizio non è minata da eventuali problematiche di sicurezza, con il rilascio di un fix che potrebbe invece compromettere funzionalità o addirittura costringere all'eliminazione di alcune opzioni oggi presenti sul servizio.

28 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
floc04 Febbraio 2016, 12:11 #1
non e' un malware ma una vulnerabilita', filtrata a loro dire in altro modo (e se nessuno l'ha sfruttata tenderei a crederci). Allarmismo.
calabar04 Febbraio 2016, 12:16 #2
Ok però... al di la del titolo allarmistico... sapete che maleware e bug (anzi... falla di sicuerezza) non sono la stessa cosa vero?
riaw04 Febbraio 2016, 12:25 #3
Originariamente inviato da: calabar
Ok però... al di la del titolo allarmistico... sapete che maleware e bug (anzi... falla di sicuerezza) non sono la stessa cosa vero?


si ma così guadagnano di più con i click.
Uakko04 Febbraio 2016, 12:30 #4
Originariamente inviato da: calabar
Ok però... al di la del titolo allarmistico... sapete che maleware e bug (anzi... falla di sicuerezza) non sono la stessa cosa vero?



Leggi chi è l'articolista e capirai tutto.
xsim04 Febbraio 2016, 12:31 #5
Voi leggete a sbaffo..non lamentatevi sempre.
gd350turbo04 Febbraio 2016, 12:37 #6
Eddai poveretto, deve mangiare anche lui !

Ciao Nino !
]Rik`[04 Febbraio 2016, 13:13 #7
sempre peggio..
a parte che è una falla di sicurezza e non è un malware, e poi credo che gli script siano javascript e non Java
adapter04 Febbraio 2016, 13:15 #8
Quindi conviene cambiare password, pregare, ignorare la cosa...
icoborg04 Febbraio 2016, 13:34 #9
Originariamente inviato da: ]Rik`[
sempre peggio..
a parte che è una falla di sicurezza e non è un malware, e poi credo che gli script siano JavaScript e non Java


questo perche ti sei affidato al nuovo io son rimasto ai fidati LaraCroft
koni04 Febbraio 2016, 13:56 #10
perché vi lamentate della qualità dell'articolo dopo aver letto chi l'ha scritto ?
si sa che nino vede solo per apple ( dove i malware sono features ) mentre le altre aziende it sono il male

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^