La società di sicurezza Check Point Software ha scoperto un bug su eBay che lo esporrebbe a gravi vulnerabilità, consentendo attacchi di phishing che vanno ad infettare i dispositivi di utenti inconsapevoli.

Utilizzando una tecnica di programmazione nota come JSFUCK (il nome è significativo), i criminali informatici riescono a bypassare l’ostacolo che impedisce agli utenti di incorporare codici JavaScript nelle pagine del famoso sito d’aste.

I codici entrano in azione quando una pagina viene aperta su cellulare o computer e chiede di installare un malware mascherato da App Sconto (Discount App) quando si visualizzano i dettagli di alcune offerte. A quel punto una finestra comunica la fortuna del cliente nel poter ottenere degli sconti con l’installazione di un’applicazione che sembra appartenere ad eBay stessa.

Secondo quanto dichiarato da Check Point Software, l’azienda avrebbe messo al corrente eBay del difetto riscontrato ma non sarebbe ancora stato preso alcun provvedimento per correggere la vulnerabilità, pur implementando alcuni filtri di sicurezza. Secondo eBay infatti non è stata riscontrata alcuna attività fraudolenta che possa sfruttare il bug e il contenuto dannoso risulterebbe inferiore a due elementi su un milione, una cifra troppo piccola per decidere di intervenire.

Non è chiaro se il bug e l’app sconto con il malware interessi tutti i mercati di eBay o sia limitato a quello americano ma, se la struttura delle pagine è la stessa probabilmente si tratta di una vulnerabilità globale.

Ecco il video che dimostra quando il codice entra in funzione e propone di installare un’applicazione di sconto approfittando della fortuna.

Nel caso in cui usaste eBay e il sito o l’applicazioni per dispositivi mobili vi chiedesse di scaricare ed installare qualche estensione o applicazione, assicuratevi di cliccare su Annulla oppure cancellare al più presto l’applicazione installata e per sicurezza, se possibile, effettuare una scansione con un buon antivirus/antimalware.

Categorizzato in: