eBay, vulnerabilità senza patch

Gli analisti di Check Point hanno scovato una pericolosa vulnerabilità di sicurezza nel codice di eBay, una falla che potrebbe essere sfruttata da cracker e cyber-criminali per campagne di phishing o distribuzione di software malevolo tramite script appositamente progettati. Avvisata dell’esistenza del problema, eBay ha però deciso di non mettere mano ai sorgenti: il rischio è estremamente basso, sostiene la società.

Le aste aperte dagli utenti su eBay includono codice “attivo” ma non permettono di utilizzare codice JavaScript, iframe o altri script ospitati da server esterni, ma i ricercatori israeliani sono riusciti a bypassare le restrizioni servendosi di una tecnica di programmazione estrema nota come JSFuck .

Modificando appena sei caratteri, gli esperti sono riusciti a visualizzare un messaggio di pop-up con la richiesta di visitare un sito esterno al portale di e-commerce; un meccanismo del genere potrebbe tornare utile per l’esecuzione di codice malevolo da remoto, la diffusione di malware o per altre attività cyber-criminali – sia su gadget mobile che su browser Web per computer.

Il rischio potenziale è enorme, visto che eBay è utilizzato da 162 milioni di utenti in 30 paesi diversi, e la società americana è stata informata dell’esistenza della falla già dallo scorso 15 dicembre. Tuttavia, eBay ha comunicato ufficialmente di non pianificare l’installazione di alcuna patch correttiva al codice del sito.

La presenza di codice malevolo sul marketplace è un evento “straordinariamente raro”, si è giustificata eBay , e riguarda meno di due aste per milione basate sull’utilizzo di contenuti attivi; la società ha in ogni caso implementato “vari filtri di sicurezza” aggiuntivi basati sulle analisi e il lavoro di codice di Check Point.

Alfonso Maruccia