I tecnici di Check Point hanno scoperto una pericolosa vulnerabilità nella piattaforma web utilizzata da eBay, azienda leader nelle aste online e nell’e-commerce.
Aggiungendo del codice malevolo all’interno delle descrizioni di un qualunque oggetto pubblicato nelle pagine eBay, un aggressore può riuscire ad eseguire codice dannoso sul sistema dell’utente. Egli può ad esempio sfruttare una lacuna del browser o dei plugin installati (e non aggiornati dall’utente) per eseguire codice nocivo su qualunque sistema client.
Come si può verificare esaminando il video, un aggressore può addirittura riuscire ad installare un’app maligna sul dispositivo mobile dell’utente non appena questi dovesse visitare una pagina di eBay contenente il codice exploit:
eBay non consente agli utenti di inserire script ed IFRAME all’interno delle descrizioni dei prodotti. Check Point, tuttavia, ha scoperto che tale filtro può essere agevolmente “dribblato” utilizzando JSFUCK, una metodologia che può essere considerata come una trasposizione dei vari costrutti di JavaScript.
Check Point ha rivelato i dettagli della vulnerabilità ad eBay in data 15 dicembre 2015. Un mese dopo, tuttavia, eBay ha risposto dichiarando di non avere modo di rimediare al problema.