Nieuws


Aanval gericht op mobiele devices

Check Point waarschuwt voor besmetting via eBay

Check Point heeft een kwetsbaarheid ontdekt bij eBay, waardoor cybercriminelen het kunnen gebruiken als platform voor phishing en het verspreiden van malware. eBay is al op 15 december 2015 van de kwetsbaarheid op de hoogte gesteld, maar liet volgens Check Point op 16 januari weten geen plannen te hebben om deze kwetsbaarheid te repareren.

Check Point security-onderzoeker Roman Zaikin ontdekte dat het met de niet-standaard techniek ‘JSF**k’ mogelijk is om code uit te voeren op de mobiele devices van gebruikers. Aanvallers openen hiervoor een eBay-winkel en plaatsen met behulp van JSF**k een extra JavaScript-code vanaf de eigen server in de winkel- of artikelomschrijvingen. De slachtoffers krijgen vervolgens een link die naar de JavaScript leidt.

“De grootste bedreiging is het verspreiden van malware en het stelen van privé-informatie”, zegt Oded Vanunu, Security Research Group Manager bij Check Point. “Een ander gevaar is dat een aanvaller het account van de gebruiker kan kapen door via Gmail of Facebook een pop-up met een alternatieve login-optie te tonen.”

In onderstaande video’s is te zien hoe de aanval verloopt op respectievelijk een iOS- en een Android-device. Meer informatie over de geconstateerde kwetsbaarheid is ook te lezen in deze uitgebreide blogpost van Check Point.

 


eBay-kwetsbaarheid op iOS.

 


eBay-kwetsbaarheid op Android.


Lees meer over