>

易趣拒绝修复应用程序安

- 编辑:澳门金沙4809com -

易趣拒绝修复应用程序安

  在研究人员发现另一个可能导致恶意软件被下载到用户计算机上的严重漏洞之后,拍卖网站eBay卷入了又一次黑客丑闻。这个漏洞绕过了eBay的代码验证,并可用于在有针对性的eBay用户设备上远程执行恶意Javascript代码,安全公司Check Point在去年年底发现了该漏洞。

  Check Point表示,针对移动设备的攻击允许网络犯罪分子“通过建立一个包含产品列表的eBay商店来定位eBay用户”。它补充说:“列表页面包含恶意代码。客户可以通过提供一次性折扣,在攻击者的eBay商店上使用弹出消息诱骗用户下载新的eBay移动应用程序。 “

  如果受害者点击弹出窗口接受,它会将恶意应用程序下载到他们的手机上,然后可以从用户的浏览器或eBay应用程序中窃取数据,从而打开网络钓鱼攻击或恶意软件感染。Check Point安全研究组经理Oded Vanunu表示:“eBay攻击流程为网络犯罪分子提供了一种非常简单的方法来定位用户:发送链接到非常有吸引力的产品来执行攻击。

  “主要威胁是传播恶意软件并窃取私人信息。另一个威胁是,攻击者可以通过Gmail或Facebook弹出备用登录选项,并劫持用户的帐户。”然而,或许更令人担忧的是,eBay打算对此问题不采取任何措施,Check Point表示。该组织表示,它于12月15日联系了eBay以披露该漏洞,但1月16日该拍卖网站称其没有计划修复它。当IT专业人员 要求回复时,eBay没有解决这个 问题。

  这个消息是在 研究员MLT 在主要的eBay网站上披露了跨站点脚本(XSS)漏洞几周之后发布 的。这种攻击虽然不同,但也利用了可能导致网络钓鱼攻击和登录凭据被盗的Javascript。

  MLT还告诉 IT专业人员 他们在12月联系eBay关于这个漏洞,而eBay最终在1月份确定了这个漏洞,MLT称eBay的反应速度通常很慢。IT专业人士 还被告知,eBay与安全研究人员有一些“糟糕的跟踪记录”,包括据称 拒绝接受业余爱好者的漏洞和安全报告。

  该公司拒绝对Check Point特别指控提出评论,但一位发言人告诉 IT专员:“作为一家公司,我们致力于为全球数百万客户提供安全可靠的市场。我们采取报告的安全措施我们非常重视问题,并在我们整个安全基础架构的背景下快速评估它们。“

本文由职位发布,转载请注明来源:易趣拒绝修复应用程序安