eBay: Flash-Applets in Auktionen können Nutzerdaten stehlen

Die Mitarbeiter der Verbraucherschutzseite falle-internet.de haben ein Sicherheitsproblem aufgedeckt, mit der es Betrügern möglich ist, die Anmeldenamen und die dazugehörigen Passwörter von Bietern über präparierte Artikelbeschreibungen auszuspähen. Die benutzte Technik ist nicht grundlegend neu: Mittels eines gefälschten Login-Dialogs bei der Abgabe eines Angebots greift man die Daten einfach ab. Bereits Ende des Jahres 2004 führte c't zusammen mit dem Entwicklerteam von Validome vor, wie man mittels JavaScript eine Auktion dafür präpariert.

Die Verbraucherschutzinitiative hat den Angriff nun auf das Web 2.0 gehoben und gaukelt den Login-Bildschirm nicht per JavaScript, sondern über ein nachgeladenes Flash-Applet vor. Das erforderliche Plug-in ist heute in fast jedem Browser zu finden. Da Flash die Skriptsprache ActionScript unterstützt, lässt sich der Ablauf von der Eingabe bis zum Verschicken der abgephishten Daten an einen anderen Server vollständig kontrollieren. Mit ActionScript kann ein Betrüger zudem unter dem Radar möglicher JavaScript-Filter agieren.

Seit September 2005 hat eBay einige Änderungen hinsichtlich der Sicherheit in seiner Auktionsplattform vorgenommen und erlaubt das Einbetten aktiver Inhalte wie JavaScript und Flash nur einem eingeschränkten Nutzerkreis. Dazu gehören per PostIdent geprüfte Mitglieder, PowerSeller, verifizierte PayPal-Mitglieder und Nutzer, die länger als 500 Tage bei eBay angemeldet sind und mehr als 500 Bewertungspunkte aufweisen. Aus Sicht von eBay hat die Lücke ohnehin keine praktische Relevanz, da eBay-Zugangsdaten derzeit eher über Trojaner und Phishing-Angriffe gestohlen würden.

Laut Burkhard Müller von falle-internet.de soll es aber nicht sonderlich schwierig sein, in den eingeschränkten Nutzerkreis zu gelangen, etwa durch Tricksereien bei PostIdent oder das Hacken von eBay-Konten mit der erforderlichen Qualifikation. Schätzungen zufolge liegt die Erfolgsquote, mit einem gestohlenen Ausweis das PostIdent-Verfahren erfolgreich zu durchlaufen, bei drei bis sechs Prozent. Dass PowerSeller ihre Zugangsdaten ungewollt preisgeben, ist zwar nicht gänzlich auszuschließen, aber eher selten. Bleiben noch die verifizierten PayPal-Mitglieder, die ihre Daten unter Umständen auf Phishing-Seiten eingeben.

eBay setzt nach eigenen Angaben zusätzliche Schutzmaßnahmen ein, um Schadsoftware in Artikelbeschreibungen zu erkennen und entsprechende Angebote vom eBay-Marktplatz zu entfernen. In einem Test von heise Security funktionierte die präparierte Auktion jedoch reibungslos: sie las die eingegebenen Daten aus und schickte sie an einen externen Server. An der Bereitstellung dieser Demo auf eBay durch die Verbraucherschutzinitiative entbrannte im Vorfeld der Veröffentlichung ein Streit mit dem Auktionsanbieter um die strafrechtliche Relevanz. In einer Mail der eBay-Abteilung "Law Enforcement Affairs" wurde falle-internet.de mit Hinweis auf den Hackerparagrafen davor gewarnt, Tests oder Demonstrationen der Lücke durchzuführen.

In einer aktuellen Stellungnahme betont eBay nun aber, dass man mit falle-internet.de zusammenarbeite, auch wenn die Verwendung derartiger Schadsoftware strafrechtlich relevant sei. "Es besteht jedoch auf Seiten eBays kein Interesse, diese Internet-Nutzer zu kriminalisieren, da sowohl diese Gruppierung, als auch eBay das Ziel verfolgen, die Sicherheit im Internet immer weiter zu verbessern", schreibt eBay abschließend. Bleibt abzuwarten, ob und welche Maßnahmen eBay ergreift.

Anwender können als Schutzmaßnahme Flash-Blocker wie FlashBlock für den Firefox oder Stopswf für den Internet Explorer einsetzen. Allerdings bekommen sie dann auch in regulären Artikelbeschreibungen die möglicherweise informativen Animationen nicht zu Gesicht.

Siehe dazu auch:

• eBay-Passwortklau – Zugangsdaten stehlen mittels präparierter Auktionen, Artikel bei heise Security.

(dab)