Durch eingebettetes JavaScript in eBay-Artikelbeschreibungen ist es möglich, Bieter auf eine fremde Seite zu entführen, um ihr Passwort abzufangen. Das Auktionshaus bezeichnete diese Sicherheitslücke als theoretisch und ergriff keine wirkungsvolle Gegenmaßnahme. Eine Live-Demo hat dieses Argument entkräftet.
Das Entwicklerteam von Validome hatte c't bereits zuvor demonstriert, wie Verkäufer die Artikelbeschreibungen zum Diebstahl von Accountdaten nutzen können. Dabei werden die Bieter einer Auktion, ohne es zu bemerken, auf nachgemachte eBay-Seiten umgeleitet. Dieses Problem ist schon länger bekannt; eBay wusste nach eigener Angabe seit über einem Jahr davon.
Im Prinzip gleicht das Entführen auf fremde Seiten per JavaScript den Phishing-Mails, die zum Öffnen eines mehr oder weniger gut maskierten Links auffordern. Es ist nur noch perfider, weil der Link hinter dem gewohnten „Bieten“-Button getarnt auf der echten eBay-Seite liegt; hier fühlt sich der Anwender sicher und klickt den Link ohne Misstrauen an.
eBays erste erkennbare Reaktion bestand in einer Präzisierung seiner Grundsätze: Die Verwendung von Skripten und anderen Techniken, die den Benutzer auf andere Seiten leiten, wurde offiziell verboten. Außerdem erklärte eBay, es würden Filter eingesetzt, die Auktionen, in denen JavaScript missbraucht wird, proaktiv aufspüren sollten. Bis Anfang Dezember war davon allerdings nichts zu merken. Validome stellte mehrfach Auktionen ein, um c't verschiedene Varianten zu demonstrieren. Dabei waren Umleitungen, die ganz ohne JavaScript funktionierten. Außerdem gelang es Validome, die eBay-Toolbar auszutricksen, die vor Phishing schützen soll. Sie warnt mit einem roten Signal, wenn man auf einer fremden Seite seinen eBay-Account preiszugeben droht - sofern sie dies erkennt.
Validome schloss diese Demo-Auktionen jeweils nach kurzer Zeit wieder, um zu verhindern, dass trotz der ausgefallenen und teuren Angebote ein Außenstehender darauf bot und dabei ungewollt sein Passwort preisgab. Mit einem attraktiven Angebot hätte man in dieser Zeit etliche Account-Daten abfangen können. eBay spürte keine einzige der Testauktionen auf.
Am 15. Dezember wies heise online in einer News-Meldung öffentlich auf eine solche Testauktion hin. Diese war rund dreieinhalb Stunden erreichbar, ehe eBay sie sperrte. Wer in der Auktion ein Gebot abgab, erhielt statt der Bestätigung durch eBay eine andere Seite zurück, auf der Mitgliedsname und Passwort angezeigt wurden, die er eingegeben hatte. Die nachgemachte Login-Seite trug freilich den deutlichen Hinweis, keinesfalls echte Zugangsdaten einzugeben. Die Daten wurden nicht gespeichert. Ein echter Betrüger würde das Gebot an eBay durchreichen, damit der Bieter nichts davon merkt, dass sein Passwort abgefangen wurde (Man in the Middle Attack).
Die Demonstration funktionierte nur auf dem Internet Explorer mit eingeschaltetem Active Scripting (Standardeinstellung). Es handelt sich aber nicht um ein Sicherheitsproblem dieses Browsers. Die Einschränkung ergab sich lediglich, weil Validome das JavaScript kodiert hatte, um es vor den Augen von potenziellen Nachahmern zu verbergen. Ein Betrüger würde sich diese Mühe natürlich nicht machen und eine universelle Lösung wählen, die dann auch mit anderen Browsern wie Firefox, Opera & Co. funktioniert.
Das Einloggen erfolgte nicht über SSL, so wie eBay dies seit einiger Zeit standardmäßig beim Bieten vorsieht, sondern wie früher auf einer ungesicherten Verbindung. Doch wer kann schon sicher sagen, dass es sich dabei nicht um eine weitere Änderung in der eBay-Software handelt?
Am Abend desselben Tages sollte Alex Leporda von Validome die Sicherheitslücke live in Stern TV demonstrieren, was aber nicht gelang. eBay hatte offenbar aus der Demo am Nachmittag genügend Informationen gewonnen, um die vorbereiteten Testauktionen von Validome aufspüren und schließen zu können. In den folgenden Tagen installierte eBay dann eine Reihe von Filtermechanismen, um schädliches JavaScript in Auktionen zu verhindern.
Einer dieser Filter überprüft den eingegebenen HTML-Text beim Anlegen einer neuen Auktion. Doch während er ein harmloses Skript blockierte, das einen Weihnachtsmann und Schneebälle hinter dem Mauszeiger herjagen lässt, ließ er ein Skript durch, das beliebige Befehlsfolgen in kodierter Form enthielt. Ein Problem solcher Filter ist, dass sie nur das abfangen können, womit ihr Programmierer gerechnet hat. Absolute Sicherheit können sie nicht gewährleisten. So ist es nicht weiter erstaunlich, dass Validome schon nach einigen Tagen wieder einen Weg fand, den Bieter aus einer eBay-Auktion heraus auf eine Phishing-Seite umzuleiten.
Validome hat rund 10 000 Auktionen gescannt und in etwa sieben Prozent davon JavaScript gefunden. Diese Rate lag in der Vorweihnachtszeit sicherlich etwas höher als zu anderen Zeiten, da umherfliegende Schneeflocken und Weihnachtsmänner Saison haben. Die große Mehrheit der Anbieter verzichtet aber lieber auf solchen Schnickschnack - zu Recht, denn er lenkt beim Lesen einer Artikelbeschreibung nur ab und ist damit verbraucherunfreundlich.
Im Interesse einer Minderheit der eBay-Verkäufer, die JavaScript nutzt, müssen alle Mitglieder mit einem Sicherheitsproblem leben. Statt die Eingabe von HTML und Skripten zuzulassen, täte eBay besser daran, eigene Tags zur Formatierung von Texten und zum Einbinden von Bildern einzuführen. Eine solche Umstellung auf allen nationalen eBay-Plattformen wäre allerdings sehr aufwendig und zöge die Anpassung vieler Software-Tools für Verkäufer nach sich.
Ob der durch die Demonstration geführte Nachweis, dass die Sicherheitslücke keineswegs nur theoretisch besteht, bei eBay zu weiteren Reaktionen führt, war leider nicht in Erfahrung zu bringen. Der Sprecher des Auktionshauses, Nerses Chopurian, lehnte unter Hinweis auf die Aktion das Gespräch mit c't ab.
Bis eBay handelt, müssen sich die Mitglieder selber schützen. Dazu gehört es, JavaScript zum Besuch von eBay abzustellen. Mehr zu diesem Thema finden Sie im Browsercheck auf heise Security. Nahezu alle Funktionen von eBay lassen sich auch ohne JavaScript nutzen. Ferner sollten Sie die Adresse von eBay direkt eingeben oder die Seiten über ihre Bookmarks aufrufen. Wählen Sie dann den Menüpunkt „Einloggen“ oben auf der Seite an. Sie landen auf einer SSL-Seite, deren Zertifikat auf „signin.ebay.de“ lautet. Melden Sie sich hier an, sodass Sie beim Bieten auf Auktionen Ihre Daten nicht erneut eingeben müssen. (ad)
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-289700
Kommentare lesen (16 Beiträge)
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
