Demonstration durch falle-internet.de

Diese XSS-Schwäche machen sich die Kriminellen zunutze, indem sie modifizierte Flash-Animationen in ihre Auktionen einbinden. In dieser Animation steckt schadhafter JavaScript-Code, der vom Besucher unbemerkt ausgeführt wird, sobald der Browser das Flash-Element lädt. Dieses JavaScript schickt automatisch den von eBay auf dem Computer angelegten Cookie an den Betrüger - in diesem Cookie stehen sämtliche der oben aufgelisteten persönlichen Informationen eines Mitglieds.

Die potenziellen Gefahren von XSS sind eBay seit längerer Zeit bekannt: Bereits im Oktober 2004 musste das Online-Auktionshaus nachbessern, um das Auslesen von Cookies und das Implementieren von externen Skripten zu verhindern. Flash-Elemente wurden damals jedoch ausdrücklich unangetastet gelassen. Die Kriminellen stellten ihre Methoden entsprechend um. Problematisch: Da der in der Flash-Animation enthaltene Code erst auf dem System des Nutzers ausgeführt wird, ist eine präventive Kontrolle nur schwer möglich.

Eine Methode: Manipulierter "Bieten"-Knopf.(Quelle: falle-internet.de, Klick vergrößert.)

Das Online-Portal falle-internet.de, welches sich dem Verbraucherschutz verschrieben hat, konnte diese durch XSS auftretende Sicherheitslücke nachstellen und das Ausführen des Schadcodes anhand einer Beispielauktion demonstrieren. So konnten die Tester Angebotsbeschreibungen per Flash nahezu beliebig abändern, normale Gebote in Sofortkauf-Aktionen umwandeln oder die Gebotshöhe fälschen.

Wird die Bieten-Schaltfläche durch ein Flash-Element ersetzt, kann das Opfer auf eine externe Website geleitet werden und dort unwissentlich sein Passwort an die Kriminellen schicken. Laut falle-internet.de erscheinen solche gefälschten Gebote immer als extrem verlockend - sei es durch das Preis-Leistungs-Verhältnis oder eine reizvolle Aufmachung mit Fotos leicht bekleideter Damen.

Gefälschte Auktionen geizen oft nicht mit Reizen.(Quelle: falle-internet.de, Klick vergrößert.)