Taloussanomat

Varo tällaisia ilmoituksia eBayssa – korjausta ei tulossa

Kaksi mahdollista eBayssa avattavaa huijausikkunaa: Ensimmäinen pyytää lataamaan haittaohjelman, toinen kalastelee käyttäjän tiedot.

2.2.2016 17:00 Tietoturvayhtiö Check Point löysi eBay-verkkokaupasta haavoittuvuuden, joka mahdollistaa hyökkäyskoodin suorittamisen kauppasivuilta.

Tietoturvayhtiö Check Point kertoo löytäneensä eBay-verkkokaupasta vakavan haavoittuvuuden. Aukko mahdollistaa oman ohjelmakoodin ajamisen eBayn sivuilta käsin.

Hyökkäys onnistuu luomalla eBayhin oman kauppasivun ja asettamalla tuotteen myyntiin. Tuotekuvakseen on mahdollista ujuttaa JSFuck-nimellä tunnetulla tekniikalla JavaScript-koodia ajettavaksi hyökkääjän palvelimelta käsin.

Tämä ohittaa kauppajätin oman koodivalidoinnin, joka tavallisesti estää iframet ja koodiupotukset poistamalla koodista numerot ja kirjaimet. JSFuck-skripti koostuu kuitenkin kokonaisuudessaan kuudesta erikoismerkistä: []()!+.

Tietoturvayhtiö havainnollistaa kaksi mahdollista hyökkäystekniikkaa: Vihamieliseltä kauppasivulta käsin voidaan tarjota ladattavaksi "uutta eBay-sovellusta" kerta-alennustarjouksella ryyditettynä. Tämän asentaessaan käyttäjä lataa puhelimellaan haittaohjelman.

Toinen mahdollinen tapa hyödyntää haavoittuvuutta on tietojenkalastelu. Hyökkäyssivulta käsin voidaan ponnauttaa ikkuna, joka näyttää eBayn sisäänkirjautumisnäkymältä. Täyttäessään tähän tietonsa uhri lähettää ne hyökkääjälle.

Tietoturvayhtiö sanoo kertoneensa eBaylle haavoittuvuudesta joulukuun puolessa välissä ja saaneensa kuukautta myöhemmin ilmoituksen, että aukkoa ei aiota korjata.

Alla olevalla kahdella YouTube-videolla näytetään, kuinka hyökkäyksen voi toteuttaa.

Jutun kirjoitti: Digitoday

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (2)

Sivut: 1
EdellinenSeuraava

Anonyymi
Eipä tuntunut PC:ssä toimivan tuo hyökkäyskoodi?
Anonyymi: A-nalyytikko 2.2.2016 18:22

Anonyymi
Ja kuka pitää PC:n selaimessa kaikkia scriptejä vapaina? No meiän emäntä ainakin, perr..
Tälläkin sivulla tällä hetkellä 6 scriptilähdettä blokattuna. Mikä on teads.tv tai nr-data.net? Ei ainakaan minun elämälle välttämättömiä.
Anonyymi: pihvi 3.2.2016 6:47
Sivut: 1
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2011

Viisi vuotta sitten

Piraattikauppias saatiin mottiin

29.07.2011 Brittioperaattori BT on määrätty oikeuden päätöksellä sulkemaan piraattikopioita myyvälle sivustolle johtavan linkin.


2013

Kolme vuotta sitten

Lumia 925 lähtee T-Mobilelta ilman käsirahaa

29.07.2013 Kilpailu kovenee Yhdysvaltain matkapuhelinmarkkinoilla. Lauantaista lähtien T-Mobilen uudet ja vanhat asiakkaat ovat voineet kävellä ulos kaupasta uuden Nokia Lumia 925:n tai Applen iPhone 5:n kanssa maksamatta senttiäkään.

.