WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗ hổng nghiêm trọng trên eBay sẽ không được vá
eBay vừa tuyên bố sẽ không vá lỗ hổng nghiêm trọng trên nền tảng bán hàng trực tuyến của hãng. Lỗ hổng này có thể bị tin tặc khai thác để phát tán mã độc tới người dùng Android, iOS và Windows.
Check Point hôm qua (3/2) đã công bố chi tiết về “lỗ hổng nghiêm trọng” mà hãng phát hiện trên nền tảng thương mại điện tử của eBay từ cuối tháng 12/2015. Lỗ hổng cho phép tin tặc qua mặt cơ chế xác thực của eBay và sử dụng đoạn mã khai thác JavaScript để thực hiện tấn công phishing, phát tán mã độc nhắm vào người dùng eBay.
Nền tảng eBay có cơ chế lọc để đảm bảo những người bán hàng (seller) chỉ có thể thêm HTML cơ bản vào một trang để làm nổi bật đoạn nội dung. Bằng việc sử dụng kỹ thuật có tên JSF**K (dựa trên các phần cơ bản của JavaScript), tin tặc có thể qua mặt cơ chế này trên eBay.
Trên gian hàng trực tuyến tại eBay, tin tặc có thể tạo đoạn mã đã thêm JS từ máy chủ của mình, sau đó chèn JavaScript có thể kiểm soát từ xa.
Trang độc hại sau đó sẽ được đưa ra dụ dỗ người dùng để khi họ mở trang này bằng trình duyệt web hoặc ứng dụng điện thoại, tin tặc có thể thực hiện các hành vi độc hại như phishing hay tải file.
Checkpoint cho biết đã thông báo về lỗ hổng cho eBay vào ngày 15/12/2015, nhưng hãng này tháng trước tuyên bố không có kế hoạch vá lỗ hổng.
Chuyên gia Check Point cho biết: “Để tấn công người dùng, tin tặc có một cách vô cùng dễ dàng đó là gửi họ một đường link về một sản phẩm hấp dẫn. Nguy cơ chủ yếu là phát tán mã độc và lấy cắp thông tin cá nhân. Một nguy cơ khác đó là tin tặc có thể tùy chọn login để pop up qua Gmail hoặc Facebook và hijack tài khoản của người dùng”.
eBay đã xác nhận rằng sẽ không vá lỗ hổng bởi hãng này muốn giữ khả năng active content của nền tảng thương mại điện tử.
“Chúng tôi cam kết sẽ cung cấp chợ thương mại an toàn và đảm bảo cho hàng triệu khách hàng của mình trên toàn thế giới. Chúng tôi xem xét vấn đề rất kỹ lưỡng, và sẽ nhanh chóng đánh giá trong ngữ cảnh hạ tầng an ninh của chúng tôi”, đại diện eBay cho biết.
Active content trên eBay đã từng bị tin tặc khai thác 2 năm trước. Trong vụ việc, tin tặc sử dụng đoạn mã JavaScript để lấy cắp thông tin người dùng.
Các chuyên gia lưu ý rằng ngoài JavaScript, tin tặc có thể chèn đoạn mã Adobe Flash độc hại.
Khuyến cáo người dùng eBay
Tháng 5/2014, eBay từng bị tấn công làm lộ nhiều thông tin quan trọng của người sử dụng như tên, địa chỉ, e-mail, số điện thoại, ngày sinh và mật khẩu. Nếu tin tặc kết hợp những thông tin đó với lỗ hổng mới phát hiện này, thì nguy cơ bị tấn công của người dùng eBay là rất cao.
Bkav khuyến cáo, cho tới khi eBay khắc phục lỗ hổng, người dùng eBay không nên download hoặc cài đặt bất kỳ ứng dụng nào từ các mặt hàng được bán trên eBay. Nên chắc chắn địa chỉ trên trình duyệt web đúng với dịch vụ bạn đang sử dụng trước khi thực hiện các thao tác như đăng nhập, mua hàng, chuyển tiền…
Nguồn: Bkav, ITNews
Check Point hôm qua (3/2) đã công bố chi tiết về “lỗ hổng nghiêm trọng” mà hãng phát hiện trên nền tảng thương mại điện tử của eBay từ cuối tháng 12/2015. Lỗ hổng cho phép tin tặc qua mặt cơ chế xác thực của eBay và sử dụng đoạn mã khai thác JavaScript để thực hiện tấn công phishing, phát tán mã độc nhắm vào người dùng eBay.
Nền tảng eBay có cơ chế lọc để đảm bảo những người bán hàng (seller) chỉ có thể thêm HTML cơ bản vào một trang để làm nổi bật đoạn nội dung. Bằng việc sử dụng kỹ thuật có tên JSF**K (dựa trên các phần cơ bản của JavaScript), tin tặc có thể qua mặt cơ chế này trên eBay.
Trên gian hàng trực tuyến tại eBay, tin tặc có thể tạo đoạn mã đã thêm JS từ máy chủ của mình, sau đó chèn JavaScript có thể kiểm soát từ xa.
Trang độc hại sau đó sẽ được đưa ra dụ dỗ người dùng để khi họ mở trang này bằng trình duyệt web hoặc ứng dụng điện thoại, tin tặc có thể thực hiện các hành vi độc hại như phishing hay tải file.
Checkpoint cho biết đã thông báo về lỗ hổng cho eBay vào ngày 15/12/2015, nhưng hãng này tháng trước tuyên bố không có kế hoạch vá lỗ hổng.
Chuyên gia Check Point cho biết: “Để tấn công người dùng, tin tặc có một cách vô cùng dễ dàng đó là gửi họ một đường link về một sản phẩm hấp dẫn. Nguy cơ chủ yếu là phát tán mã độc và lấy cắp thông tin cá nhân. Một nguy cơ khác đó là tin tặc có thể tùy chọn login để pop up qua Gmail hoặc Facebook và hijack tài khoản của người dùng”.
eBay đã xác nhận rằng sẽ không vá lỗ hổng bởi hãng này muốn giữ khả năng active content của nền tảng thương mại điện tử.
“Chúng tôi cam kết sẽ cung cấp chợ thương mại an toàn và đảm bảo cho hàng triệu khách hàng của mình trên toàn thế giới. Chúng tôi xem xét vấn đề rất kỹ lưỡng, và sẽ nhanh chóng đánh giá trong ngữ cảnh hạ tầng an ninh của chúng tôi”, đại diện eBay cho biết.
Active content trên eBay đã từng bị tin tặc khai thác 2 năm trước. Trong vụ việc, tin tặc sử dụng đoạn mã JavaScript để lấy cắp thông tin người dùng.
Các chuyên gia lưu ý rằng ngoài JavaScript, tin tặc có thể chèn đoạn mã Adobe Flash độc hại.
Khuyến cáo người dùng eBay
Tháng 5/2014, eBay từng bị tấn công làm lộ nhiều thông tin quan trọng của người sử dụng như tên, địa chỉ, e-mail, số điện thoại, ngày sinh và mật khẩu. Nếu tin tặc kết hợp những thông tin đó với lỗ hổng mới phát hiện này, thì nguy cơ bị tấn công của người dùng eBay là rất cao.
Bkav khuyến cáo, cho tới khi eBay khắc phục lỗ hổng, người dùng eBay không nên download hoặc cài đặt bất kỳ ứng dụng nào từ các mặt hàng được bán trên eBay. Nên chắc chắn địa chỉ trên trình duyệt web đúng với dịch vụ bạn đang sử dụng trước khi thực hiện các thao tác như đăng nhập, mua hàng, chuyển tiền…
Nguồn: Bkav, ITNews
Chỉnh sửa lần cuối bởi người điều hành: