Ebay, la più nota piattaforma della Rete per lo svolgimento di aste online, sarebbe affetta da una vulnerabilità recentemente scoperta dagli esperti di sicurezza di Check Point. Si tratterebbe di un bug attraverso il quale utenti malintenzionati potrebbero veicolare codice infetto finalizzato alla sottrazione di dati personali.
In sostanza un attaccante potrebbe sfruttare questa problematica per la realizzazione di negozi fasulli e inserire tra i prodotti elencati in questi ultimi del codice basati su JavaScript con lo scopo di perpetrare azioni di phishing; si tratterebbe di una metodologia in grado di bypassare i filtri che Ebay utilizzata per sanitizzare i tag.
In sostanza verrebbe sfruttata una tecnica di incursione denominata JSFuck, attraverso di essa gli script malevoli vengono inoculati tramite un server esterno che non è direttamente controllato dal servizio; rimane comunque da segnalare che per rendere possibile un attacco dovrebbe essere necessaria un’azione volontaria da parte dell’utente.
Per proporre un esempio, basterebbe ipotizzare che un utilizzatore scarichi un’applicazione perché tratto in inganno da un’offerta commerciale particolarmente conveniente; a rendere ancora più preoccupante tale vulnerabilità sarebbe il fatto che essa potrebbe essere sfruttata sia per colpire terminali Desktop e sia per infettare dispositivi mobili.
Secondo quanto dichiarato dai tecnici di Ebay, che avrebbero confermato l’esistenza della falla, fino ad ora quest’ultima non avrebbe dato origine ad alcun attacco, in ogni caso i filtri già adottati dal gruppo per tutelare l’attività della propria utenza sarebbero stati appositamente rafforzati. Non sarebbe stato invece pianificato un intervento per la correzione del bug.