eBay non è sicuro, malware travestito da sconto

ebay-malware

Fare acquisti su eBay è sicuro? L’azienda titolare della piattaforma di e-commerce sostiene di sì, mentre si leva la voce contraria di Check Point Software Technologies. Un ricercatore della società di security israeliana, Roman Zaikin, a metà dicembre ha scoperto una vulnerabilità che permette di ingannare i compratori creando pagine di offerte per prodotti in vendita su eBay che servono agli hacker come “specchietto per le allodole”, funzionale a operazioni di phishing o di diffusione di malware.

Più nel dettaglio, la vulnerabilità (il cui nome, nella versione censurata facilmente codificabile, è JsF**k) permette di creare pagine legittime impersonando il ruolo di un venditore che si propone su eBay. Con il dettaglio di poter inserire in tali pagine del codice JavaScript malevolo e controllabile da remoto. Diventa così possibile confezionare delle schermate che assomigliano a promozioni e sconti, e che propongono all’utente di scaricare un’applicazione sul proprio smartphone per poter usufruire dell’offerta (l’immagine qui sotto, pubblicata da CheckPoint sul suo blog, mostra come può apparire una pagina contraffatta).

ebay-banner

Ed ecco che, una volta scaricata l’app malevola, l’utente potrebbe ritrovarsi vittima di campagne di phishing e furto di dati. CheckPoint ha specificato che quello del download di un’applicazione infetta è lo scenario più probabile, ma non l’unico, poiché il codice malevolo potrebbe essere eseguito anche dal browser. “Se la vulnerabiltà resta senza patch, i clienti continueranno a rimanere esposti a potenziali attacchi di phishing e di furto di dati”, scrive Check Point.

Ciò che più conta, in tutta la vicenda, è forse la reazione di eBay: l’azienda, avvisata dal ricercatore di sicurezza a metà dicembre, si è premurata di rispondere alla segnalazione non prima di un mese, ostentando tranquillità. Secondo quanto riportato da Check Point, il 16 gennaio eBay ha risposto di non avere intenzione di risolvere la vulnerabilità. Detta così, la frase non spiega i motivi dell’apparente disinteresse, che emergono però dalle dichiarazioni di un portavoce dell’azienda di e-commerce: “EBay è impegnata nell’offrire un marketplace sicuro a milioni di clienti nel mondo. Prendiamo molto seriamente le segnalazioni di problemi di sicurezza e agiamo rapidamente per valutarle nel contesto della nostra intera infrastruttura di sicurezza. Non abbiamo rilevato alcuna attività fraudolenta nata da questo incidente”. Come riportato da TheNextWeb, eBay ritiene che la possibilità di una presenza di codice JavaScript malevolo sulla piattaforma sia molto rara, inferiore a due casi ogni milione di pagine. (fonte)

You may also like...