"eBay: Flash-Applets in Auktionen können Nutzerdaten stehlen"

Die Mitarbeiter der Verbraucherschutzseite falle-internet.de haben ein Sicherheitsproblem aufgedeckt, mit der es Betrügern möglich ist, die Anmeldenamen und die dazugehörigen Passwörter von Bietern über präparierte Artikelbeschreibungen auszuspähen. Die benutzte Technik ist nicht grundlegend neu: Mittels eines gefälschten Login-Dialogs bei der Abgabe eines Angebots greift man die Daten einfach ab. Bereits Ende des Jahres 2004 führte c’t zusammen mit dem Entwicklerteam von Validome vor, wie man mittels JavaScript eine Auktion dafür präpariert.

Die Verbraucherschutzinitiative hat den Angriff nun auf das Web 2.0 gehoben und gaukelt den Login-Bildschirm nicht per JavaScript, sondern über ein nachgeladenes Flash-Applet vor. Das erforderliche Plug-in ist heute in fast jedem Browser zu finden. Da Flash die Skriptsprache ActionScript unterstützt, lässt sich der Ablauf von der Eingabe bis zum Verschicken der abgephishten Daten an einen anderen Server vollständig kontrollieren. Mit ActionScript kann ein Betrüger zudem unter dem Radar möglicher JavaScript-Filter agieren.

Seit September 2005 hat eBay einige Änderungen hinsichtlich der Sicherheit in seiner Auktionsplattform vorgenommen und erlaubt das Einbetten aktiver Inhalte wie JavaScript und Flash nur einem eingeschränkten Nutzerkreis. Dazu gehören per PostIdent geprüfte Mitglieder, PowerSeller, verifizierte PayPal-Mitglieder und Nutzer, die länger als 500 Tage bei eBay angemeldet sind und mehr als 500 Bewertungspunkte aufweisen. Aus Sicht von eBay hat die Lücke ohnehin keine praktische Relevanz, da eBay-Zugangsdaten derzeit eher über Trojaner und Phishing-Angriffe gestohlen würden.

mehr…