eBay mit Sicherheitsproblemen: App-Installation im Vorbeigehen
Das Online-Auktionshaus eBay steht in der Kritik. Die Handels-Plattform, die inzwischen von mehr als 150 Millionen aktiven Nutzern in über 30 Ländern frequentiert wird, weist eine Sicherheitslücke auf, die von Dritten zum Angriff auf Mobilgeräte ausgenutzt werden könnte – beseitigen will man das Einfallstor allerdings nicht.
Eine schlechte Nachricht, die im jetzt im Hausblog der Security-Firma „Check Point“ veröffentlicht wurde. Die Sicherheitsexperten hatten eBay Mitte Dezember auf die Schwachstelle aufmerksam gemacht und dem Auktionshaus damals ein Video übermittelt, auf dem der Angriff gegen ein iPhone demonstriert wurde.
Die Sicherheitsforscher kritisieren eBays laxe Handhabe der Angebotsbeschreibungen. Angreifer könnten diese mit eigenem JavaScript-Code manipulieren und hier im schlimmsten schädliche iPhone-Applikationen an eBay-Besucher verteilen, die sich mit Hilfe sogenannter Enterprise-Zertifikate am App Store vorbei installieren lassen würden.
This vulnerability allows attackers to bypass eBay’s code validation and control the vulnerable code remotely to execute malicious Java script code on targeted eBay users. If this flaw is left unpatched, eBay’s customers will continue to be exposed to potential phishing attacks and data theft.
Um die Schwachstelle zu schließen, müsste eBay lediglich den Einsatz des JavaScript-Dialekts JSFUCK unterbinden. Nach Angaben der Security-Experten soll das Auktionshaus diesen Vorschlag jedoch abgelehnt haben: „eBay stated that they have no plans to fix the vulnerability. The exploit Demo is still live.“
Sollten euch bei den nächsten eBay-Ausflügen also merkwürdige iOS-Anwendungen zum angeboten werden, dann ignoriert die Installationsaufforderung bitte.