images

La firma de seguridad tecnológica Check Point Software, especializado en seguridad informática, ha detectado una grieta de seguridad en la web de eBay, la popular plataforma de compra venta por internet entre particulares.

En concreto, la vulnerabilidad puesta a la luz por los investigadores de Check Point Software consiste en la posibilidad de burlar una restricción específica, una operación conocida como JSFUCK, que permite insertar código JavaScript en las publicaciones. Se trata de un código malicioso ejecutable tanto en los dispositivos móviles como en los equipos personales.

De acuerdo con Oded Vanunu, informático de Check Point Software, «Un hacker podría importunar a los usuarios de eBay publicando una página legítima que contenga código malicioso. Así, los clientes pueden ser engañados al abrir la página, pues el código se ejecutaría por el navegador del usuario o la aplicación móvil, abriendo numerosos escenarios que van desde phishing hasta descargas binarias». El propio Vanunu continúa explicando los problemas de estos escenarios: «La amenaza principal de esta vulnerabilidad consiste en la propagación de malware y en el robo de información privada. Otra amenaza implica que un atacante adquiera una opción de inicio de sesión alternativo, esto es, una pop-up a través de Gmail o Facebook, con lo que secuestraría la cuenta del usuario». Todo ello se concreta en que los hackers podrían robar la información, el dinero o los productos de los compradores y de los vendedores de esta popular plataforma.

Según la versión del equipo de Check Point Software, esta misma empresa informó de la vulnerabilidad a los responsables de eBay, que respondieron comunicándoles que no tenían intención de reparar el bug, quizás porque esta reparación implicaría la pérdida de alguna funcionalidad en la web.

Para aprovechar la vulnerabilidad y ejecutar el código malicioso es necesario tener conocimientos de ingeniería inversa, de manera que se engañe al usuario para que este mismo acepte inconscientemente la instalación de ese código.

Experto en el análisis de dispositivos móviles y ordenadores. Su afán es poder llegar a la gente el modelo que está buscando, detallando cada característica técnica y física del producto. Su pasión es la tecnología

Dejar respuesta: