Estamos acostumbrados a hablar de vulnerabilidades de este servicio. Junto con PayPal, hay que decir que es uno de los más utilizados para realizar sobre todo ataques phishing. En esta ocasión, un grupo de expertos en seguridad ha detectado un fallo en eBay que permite la distribución de malware entre los usuarios y la posibilidad de redirigirlos a páginas web falsas.
Pero este fallo de seguridad no solo afecta a la tienda en línea, sino también a todos los sitios web que hagan uso de la librería JSF**k, la cual podría considerarse un complemento a JavaScript, permitiendo que los desarrolladores utilicen los caracteres [, ], (, ), !, y + para implementar funciones JavaScript totalmente funcionales. Uno de los contras es que el código tal vez pueda ser más extenso, pero a cambio resulta totalmente funcional en todos los navegadores.
El experto en seguridad Roman Zaikin ha descubierto que a la hora de crear una tienda en eBay, en algunos campos de texto en los que se puede añadir descripción sobre los productos que se ponen a la venta se puede introducir código que posteriormente será interpretado y por lo tanto ejecutado. Este problema se ha reportado a los responsables de la tienda en línea, cuya respuesta a ha sido que no llevarán a cabo la eliminación de la vulnerabilidad, por lo que el investigador por el momento no ha aceptado publicar los datos de cómo se ha aprovechado esta vulnerabilidad.
Sin embargo, lo que sí han confirmado es que este fallo en eBay permite la creación de ventanas de dialogo adicionales, mostrando al usuario formularios de inicio de sesión falsos o incluso llevar a cabo la distribución de malware sin que el usuario se percate, ya que se encuentra dentro de la web legítima y por lo tanto posee cierta confianza en el contenido ofrecido.
En el vídeo que os mostramos a continuación se puede apreciar todo lo que hemos dicho hasta el momento:
El fallo en eBay y la distribución de las páginas
El experto en seguridad ha declarado que los ciberdelincuentes lo tendrían más o menos fácil para llevar a cabo el ataque y realizar el robo de las credenciales de acceso a las cuentas del servicio o incluso de otros. Partiendo de la existencia de las redes sociales y la capacidad de difusión que poseen, solo sería necesario publicar el enlace de la tienda o bien de un artículo con el código malware y las redes sociales harían el trabajo restante.
Fuente | Softpedia