Mein Blick in „dein eBay“ -
der eBay-XSS-Flash-Exploit

Geändert am 12.03.2008
Zugang zu den Daten von eBay-Mitgliedern können sich Kriminelle über eine Sicherheitslücke verschaffen. Das Aufrufen einer Angebotsseite reicht, ein ahnungsloser eingeloggter Besucher muss keinen weiteren Link in der Artikelbeschreibung anklicken. Während er das Angebot betrachtet, können sein Name und seine Anschrift, seine E-Mail-Adresse und weitere Angaben an einen Fremden übermittelt werden.
Wie es funktioniert, demonstrierte falle-internet.de an einer Beispielauktion:
Durch das Einbinden einer Flash-Animation in eine Artikelbeschreibung kann über so genanntes Cross-Site-Scripting (XSS) Einblick in alle Daten genommen werden, die nur dem Inhaber des Mitgliedskontos in „Mein eBay“ ausdrücklich vorbehalten sein sollten.

  Ausschnitte aus „Mein eBay“ eines fiktiven Mitgliedskontos.

Neben den persönlichen Daten können auch sämtliche Handelsaktivitäten (erfolgreich oder nicht) der letzten Zeit sowie die beobachteten Artikel abgerufen werden. Auch das persönliche Postfach „Meine Nachrichten“ ist einsehbar.
In „Mein eBay“ befinden sich u.a.:
  • Name und vollständige Anschrift
  • die E-Mail-Adresse
  • Bankdaten für das Lastschriftverfahren (teilweise unkenntlich)
  • Kreditkarten-Daten (teilweise unkenntlich)
  • die Passwort-Sicherheitsfrage
  • die Liste der gekauften Artikel
  • die Liste der Artikel, auf die erfolglos geboten wurde
  • die Liste der beobachteten Artikel
  • alle über eBay versendeten oder empfangenen Mitteilungen in „Meine Nachrichten“
Diese sensiblen Informationen können von Betrügern leicht dazu verwendet werden, den ahnungslosen Opfern gefälschte Angebote zukommen zu lassen, beispielsweise die bereits mehrfach in solchen Zusammenhängen genutzten betrügerischen „Zweitbieter-Angebote“ (Second-Chance-Offer). Mit sämtlichen realen Daten ausgestattet, wird das Vertrauen der Opfer in die Echtheit des Angebotes beträchtlich erhöht.
Auch das Ergaunern des Passworts durch Phishing wird durch diese Cross-Site-Scripting-Schwachstelle wesentlich erleichtert. Durch Manipulation bestimmter Seitenelemente wird dem Opfer eine gefälschte Einlogg-Seite untergeschoben, die dessen Passwort an den kriminellen Angreifer versendet. Die Täuschung gelingt perfekter als bei einfachen Weiterleitungen auf externe Seiten: es ist möglich, das gefälschte Formular direkt in die Angebotsseite einzublenden. Das Opfer befindet sich augenscheinlich noch immer auf einer eBay-Seite.

JavaScript und XSS

Jedes eingeloggte eBay-Mitglied, auf dessen Rechner das Flash-Plugin installiert sowie JavaScript zugelassen ist, kann Opfer der Sicherheitslücke werden. Im Test war das Auslesen der Daten - vom Mitglied völlig unbemerkt - möglich.
Und so funktioniert der Einblick in die fremde Intimsphäre von „Mein eBay“:
Der Kriminelle stellt auf eBay ein häufig frequentiertes Angebot ein, in das eine speziell präparierte Flash-Animation eingebettet ist. Öffnet ein eingeloggtes Mitglied die Seite, lädt der Browser den Flash-Schadcode des Kriminellen nach. Dieser enthält JavaScript, das die eBay-Cookies des Betrachters an den Kriminellen schickt. Das Einschleusen fremden Codes ist unter dem Begriff Cross-Site-Scripting (XSS) schon seit Jahren bekannt.
Da die Flash-Datei auf dem Rechner des Betrachters ausgeführt wird, kann durch eBay nicht unmittelbar beim Einstellen oder Überarbeiten des Artikels kontrolliert werden, ob verbotene JavaScript-Befehle enthalten sind. Das eBay-Mitglied kann sich zwar selbst durch generelles Abschalten von JavaSript im Browser schützen, allerdings wird die Benutzung normaler eBay-Seiten erheblich beeinträchtigt; wesentliche Funktionen werden ohne JavaScript nicht mehr ausgeführt.

XSS: Sicherheitslücke mit Tradition

Die Problematik (inter)aktiver Inhalte ist allen kommerziellen Anbietern im Internet lange bekannt. Auch eBay musste 2004 reagieren, nachdem die damals bereits seit über einem Jahr bekannte Sicherheitslücke durch Verwendung von JavaScript schließlich durch einen Spiegel-Bericht einer breiteren Öffentlichkeit bekannt gemacht und innerhalb kürzester Zeit durch zahlreiche Beispiele belegt wurde. Bis dahin hielt eBay den Gebrauch von JavaScript in den Seiten von Kunden offiziell nur für eine »theoretische Sicherheitslücke«.
Mit einem »überarbeiteten Grundsatz zur Verwendung von Skriptsprachen beim Anbieten von Artikeln« reagierte eBay am 1. Oktober 2004. Seither ist beispielsweise das Auslesen von Cookies, die Weiterleitung zu anderen Internet- Angeboten, die Einbindung externer Skripte und Seiten oder der Aufruf von Pop-Ups verboten. Der Einsatz von Flash zum Einbinden fremder Inhalte wurde jedoch ausdrücklich von den Verboten ausgenommen.
Bereits damals hieß es in einer Heise-Meldung: »Seit langem gilt unter Entwicklern und Anbietern beispielsweise Cross-Site-Scripting aufgrund fehlender Code-Filterung als Schwachstelle in Web-Servern und -Applikationen. Angreifer schleusen so JavaScript in die Browser von Opfern und führen ihn in vertrauenswürdigen Sicherheitszonen aus, um an Authentifizierungs-Cookies zu gelangen. Hier musste der Angreifer aber quasi über Bande spielen, um erfolgreich zu sein -- bei eBay bekommt er alle Werkzeuge direkt in die Hand.«

Nutzung zu Betrugsversuchen dokumentiert

Banden von Kriminellen kennen sich mit den Techniken von JavaScript und XSS bestens aus und benutzen in betrügerischen Artikelbeschreibungen schon seit geraumer Zeit gefährliche Flash-Codes. Das Problem sollte eBay bekannt sein, denn bereits vor über einem Jahr wurden dem Auktionshaus Angebote dieses Typs durch Mitglieder von falle-internet.de gemeldet.
Die Palette der bisher nachgewiesenen Angebots-Manipulationen mittels Flash hat bereits eine beachtliche Vielfalt angenommen: Eine Art der Manipulation besteht darin, nahezu beliebig Angaben in der Angebotsbeschreibung auf dem Rechner des Betrachters nach dem Willen des Flash-Erstellers abzuändern. Laufende Angebote werden scheinbar in Sofortkauf-Angebote geändert, die aktuell bestehende Gebotshöhe wird gefälscht oder die Bewertungsangaben zum Verkäufer überschrieben.
Besonders auffällig ist die verbreitete Anwendung eines Befehls, der bei einem Klick in der Artikelbeschreibung direkt das E-Mail-Programm des Interessenten öffnet:

  

Hierbei ist bereits die E-Mail-Adresse des Betrügers und den Betreff der Nachricht eingetragen, um das Opfer zu einer Kontaktaufnahme zu bewegen:

  Bei diesem Angebot war die komplette Seite auch außerhalb der Artikelbeschreibung manipuliert.

Folgt man den Spuren weiter, kann man die Vorbereitung für weitere Betrugsversuche durch Einbindung von Flash-Dateien erkennen:

  

Noch weiter geht eine bereits mehrfach aufgefallene spezielle Manipulation der »Bieten«-Schaltfläche. Will der Interessent ein Gebot abgeben, wird er auf eine gefälschte externe Einloggseite geleitet, von der das eingegebene Passwort direkt an den Betrüger verschickt wird.
Um möglichst viele Opfer anzulocken, nutzen die Kriminellen bewusst reizvolle Aufmachungen oder häufig nachgefragte Artikel:
Beim Aufruf des interessanten Angebots wird das Opfer sofort auf eine externe Seite mit einem gefälschten Einlogg-Formular weitergeleitet:

  

Die dort eingegebenen Mitgliedsnamen und Passwörter werden direkt an den Passwort-Sammler verschickt.

  Schnelle Autos und schöne Frauen – eine erfolgreiche Kombination.


Innerhalb weniger Tage sind mehrere Hundert Passwörter eingegeben und abrufbereit.

Der Nachweis durch falle-internet.de unter realen Bedingungen

Nach drei Monaten ohne wirkungsvolle Reaktion auf gezielte Informationen und nach mehr als einem Jahr der Kenntnis über die reale Nutzung der Schwachstelle durch Kriminelle erachtet es falle-internet.de als notwendig, auch die Öffentlichkeit über die Gefahren zu informieren.
Bei der Recherche, wie sich Kriminelle die mangelnden Sicherheitsvorkehrungen bei eBay zunutze machen, wurde von falle-internet.de in einem Test unter realen Bedingungen eine praktische Demonstration des eBay-XSS-Flash-Exploits durchgeführt:
Ausgesuchte Teilnehmer konnten die Auswirkungen selbst überprüfen und nach dem Besuch der Seite feststellen, dass ihre eigenen persönlichen Daten aus „Mein eBay“ Dritten zugänglich wären.
Nachdem eBay im November ein Hinweis auf die geplante Testreihe zugetragen wurde, erhielt falle-internet.de eine als Drohung gegen FI-Mitglieder aufzufassende E-Mail vom Leiter der eBay-Abteilung »Law Enforcement Affairs« mit Bezug auf den so genannten „Hackerparagraphen“ §202c StGB.
Obwohl die Gefahr durch XSS bereits seit Jahren bekannt war, wurden der eBay-Abteilung »Law Enforcement Affairs« Anfang Dezember 2007 die einzelnen Schwachstellen und einige Lösungsmöglichkeiten durch falle-internet.de dargelegt. Mitte Dezember wurde die Abteilung »Trust & Safety« der eBay GmbH erneut durch falle-internet.de über die Risken informiert, wirkungsvoll beseitigt wurden sie bis heute nicht.
Empfehlung
Bis zur Schließung der Sicherheitslücken kann nur empfohlen werden, auf eBay-Artikelseiten weder JavaScript noch Flash zu benutzen. Dies kann bei Verwendung des Mozilla Firefox beispielsweise mit dem Browser-Addon NoScript geschehen; im Internet Explorer lässt sich dies Verhalten mit etwas Aufwand durch dessen Zonenmodell einstellen. Zudem können auch andere Plattformen in ähnlicher Weise betroffen sein, wenn sie dem Nutzer das freie Einbinden von Flash ermöglichen.


ZUM SEITENANFANG