Sicherheitsproblem bei eBay erlaubt unbemerktes Phishing

Wer glaubt, dass gerade Größen wie eBay viel Wert auf die Sicherheit der eigenen Dienste legen, der liegt meiner Meinung nach definitiv falsch. Bereits in den vergangenen Jahren wurde mehrmals über die Sicherheitsprobleme beim bekannten Auktionsportal berichtet. Erst vor ein paar Monaten habe ich bei eBay eine Schwachstelle in der mobilen Version des Portals entdeckt, die zum Einschleusen von Schadcode, sowie zum Ausführen externer Dateien geeignet war. Nutzer mit mobilen Endgeräten waren dadurch einem erheblichen Risiko ausgesetzt. Gerade weil es für mobile Webbrowser bis heute keine wirklich brauchbaren Sicherheitsfeatures gibt und die Zahl der Nutzer solcher Geräte täglich steigt, werden derartige Angriffe immer beliebter.

In diesem Beitrag möchte ich aber eine andere Sache ansprechen. Bereits vor etwa 2 Jahren bin ich über ein Problem bei eBay gestolpert, welches bis heute nahezu unverändert geblieben ist. Es geht um Artikelseiten und eBay-Shops, die durch externe Dateien und übergreifendes JavaScript auf höchstem Niveau manipuliert werden können. Man hat zwar die Problematik mit den einzelnen Artikelseiten bereits behoben bzw. in Grenzen gehalten, jedoch existiert in den eBay-Shops weiterhin ein gravierendes Sicherheitsproblem. Es ist ja bereits bekannt, dass durch externes Flash ein präpariertes Formular oder gar Schadcode auf den jeweiligen Artikelseiten möglich ist. In den meisten Fällen erfordert der Angriff aber eine Aktion des Benutzers, welcher durch zunehmende Aufklärung und Warnhinweise etwas vorsichtiger geworden ist. Gerade bei eBay würden erfahrene User nie auf einen derartigen Betrugsversuch hereinfallen. Man weiß, wo sich der Login befindet und man kennt das allgemeine Erscheinungsbild eben. Da fällt so ein gefälschtes Login-Formular innerhalb der Produktbeschreibung natürlich auf.

Nun, was wäre aber, wenn das Erscheinungsbild komplett gleich bleibt, jedoch sich der Code im Hintergrund ändert, ohne dass der Besucher dies bemerkt? Nehmen wir an, ein Angreifer möchte Benutzerdaten von vielen eBay-Mitgliedern abfangen. In der Vergangenheit hätte er die Möglichkeit gehabt, dies über einen Fake-Login auf der Artikelseite zu realisieren. Allerdings funktionierte dies nur bei unerfahrenen bzw. neuen eBay-Nutzern. Das Login-Formular wäre innerhalb der Artikelbeschreibung platziert und somit klar als Fake erkennbar gewesen. Was aber, wenn man das Original mal eben mit dem manipulierten Login-Formular oder gar das ganze Menü, die komplette Seite nach eigenem Wunsch verändern könnte?

Wie schon erwähnt gab es bezüglich der Artikelbeschreibung bzw. der Artikelseiten allgemein bereits Änderungen. Übergreifendes JavaScript wird dort größtmöglich unterbunden. Man bleibt als Angreifer also ein wenig auf der Strecke und muss alternativ auf „Dummfang“ gehen. Bei den eBay-Shops allerdings, sind die Möglichkeiten nahezu grenzenlos. Nimmt man sich das Template des eBay-Shops, kann man bei eBay ganz schönen Unfug treiben und selbst erfahrene User in die Falle locken. Man kann jeden beliebigen Teil der gesamten Seite nach eigenen Wünschen gestalten und manipulieren. Übergreifendes JavaScript und das Einbinden externer Elemente macht es möglich. Glauben Sie nicht?

Hier ein einfaches Beispiel für das Template eines eBay-Shops:

Fügt man diesen Schnipsel mit der JavaScript Funktion in den Head-Bereich des Templates ein, lassen sich beliebige Elemente der Seite ändern. Im Beispiel wird der Hintergrund der gesamten Seite mit einer eigenen Grafik ausgestattet, der „vi-container“ erhält eine neue Hintergrundfarbe, eine feste Breite und ein wenig Abstand. Nun, das Beispiel wäre natürlich harmlos. Anders sieht es aber aus, wenn man über die Styles der Bedienelemente den kompletten Kopfbereich herausnehmen/ausblenden (display:none) und anschließend mit dem Eigenen ersetzen würde. Das gesamte Menü, der Login-Bereich, die Registrierung, …

Dadurch, dass das Erscheinungsbild bei dieser Manipulation komplett gleich bleiben kann, sind selbst sehr erfahrene Nutzer gefährdet. Man würde den Betrug erst merken, wenn es bereits zu spät ist. Stellen wir uns vor, ein Angreifer erhält Zugriff auf einen Ebay-Shop oder legt sich gar seinen eigenen Shop an. Nimmt er sich dazu eine ganze Liste begehrter Produkte und bietet diese zu scheinbaren Schleuderpreisen an oder bewirbt diese Produkte in der Artikelbeschreibung, mit Link zum manipulierten eBay-Shop, dann könnte das große Auswirkung haben. Natürlich ist durch das übergreifende JavaScript noch mehr Unsinn möglich, jedoch möchte ich hier keine ausführlichen Anleitungen zum Hacken bei eBay anbieten.

Warum man bei eBay zwar die Probleme auf den Artikelseiten, jedoch nicht die in den eBay-Shops behandelt hat, ist für mich absolut unverständlich. Es wäre doch wirklich absolut kein Problem, JavaScript bei benutzerdefinierten Inhalten zu verbieten. Meiner Meinung nach könnte man auch allgemein, das Einbinden externer Dateien verbieten. So wären die Sicherheitsrisiken recht stark in Grenzen gehalten, zumindest was Artikelseiten und eBay-Shops betrifft.