Исследователи компании Check Point обнаружили серьезную уязвимость в онлайн-платформе eBay. Техника эксплуатации бага получила имя JSF**k. Она позволяет обойти фильтры eBay. То есть злоумышленник может открыть на eBay собственный магазин, добавить в поле описания товара подготовленный определенным образом вредоносный JavaScript, а затем пожинать плоды своих трудов. Более того, 16 января текущего года представители eBay заявили, что не планируют исправлять данную уязвимость.
15 декабря 2015 года опасную брешь обнаружил сотрудник Check Point Роман Заикин (Roman Zaikin). Прошло уже более полутора месяцев, но компания eBay держит слово и, похоже, действительно не собирается исправлять баг. В связи с этим специалисты Check Point хотя и раскрыли информацию о найденной проблеме, технические подробности пока не разглашаются полностью.
Суть проблемы заключается в следующем: был найден способ, позволяющий обмануть фильтры eBay, которые отвечают за распознавание вредоносного кода. Из-за этого хакеры могут создавать на eBay якобы легитимные страницы магазинов, внедрять в них вредоносный код, и открытие этих страниц приведет к весьма неприятным последствиям.
Для обхода фильтров eBay используется техника JSF**k. Проект, давший имя этому вектору атаки, был создан не компанией Check Point, его шутки ради придумал разработчик Мартин Клеппе (Martin Kleppe). Код здесь изменяется до неузнаваемости и состоит только из шести символов: [ ] ( ) ! и +. Записывая данные таким образом, в итоге можно получить работающий код на JavaScript, который не распознают практически никакие механизмы защиты.
Благодаря технике JSF**k, вредоносный код можно беспрепятственно внедрить в поле описания товара на eBay. Системы защиты аукциона запрещают использование iFrames и HTML тегов на страницах, но против обфускации JavaScript они бессильны. Кроме того, с помощью JSF**k злоумышленники могут создать код, который будет загружать дополнительный JS-код с их сервера.
По сути, хакеры ограничены только собственной фантазией. Попав на такую страницу, пользователь может стать жертвой фишинга и кражи личных данных. К примеру, на зараженной eBay-странице пользователю предлагают скачать мобильное приложение eBay со специальной скидкой. Все выглядит легитимно и безопасно, но если жертва подтверждает скачивание, на ее устройство загружается малварь.
Так как представители eBay официально заявили, что не считают возможность проведения подобных атак уязвимостью, специалисты Check Point могут лишь выразить надежду, что компания передумает. Помимо описания проблемы, исследователи опубликовали два proof-of-concept видео.
Фото: Mike Knell