Ellenőriz pont kutatók nemrégiben azonosított AliExpress portál, amely potenciálisan vezethet lopott érzékeny információkat, elsősorban a hitelkártya-adatok biztonsági rést. AliExpress egy széles körben népszerű bevásárló honlapján, amely előírja, hogy a mintegy 100 millió ügyfél. Használók tud talál az oldalon szinte semmit, és a kuponokat az új és a visszatérő ügyfeleket.
-a ‘ nem ritka, hogy kérdezés használók-hoz betesz a hitelkártya adatait egy gyorsabb és simább kijelenti magát a AliExpress, és gyakran adnak ki kuponokat cserébe. Kutatók felfedeztek egy módon bárdok tudna elméletileg kihasznál az előnyeit, és a felhasználók tudtukon kívül adna banki adataikat rosszindulatú fél.
Hogyan működhet a támadás
Potenciális támadók akar küld ki elektronikus levél-val egy feltört AliExpress oldal egy kaján JavaScript kódot. Elméletileg ha valaki rákattint a linkre, és belépett az oldalon, a rosszindulatú kód lenne végre a felhasználó böngészőjében, ami lehetővé teszi, hogy kitérő AliExpress barátait védelem cross-site scripting támadások ellen.
Egyszer az oldalon, egy pukkanás-megjelöl tűnik, azonos a törvényes AliExpress kupon pukkanás-megjelöl, azt állítva, hogy lehet kapni egy kupont, ha a hitelkártya adatait. Ha volt az információ, helyett egy gyorsabb és simább kijelenti, Ön kíván nyújtani támadók banki adatait.
“A támadók akkor járhat egy előugró kupon ajánlat a főképernyőn – egy aldomain-ügyfelek, hogy hitelkártyaadatok hogy simább and more hatékony vásárlási tapasztalatok kéri tulajdonában AliExpress fut.. A támadók azonban kizárólag ellenőrzése az előugró ablak az összes megadott hitelkártya-adatait közvetlenül eljuttatni őket sokkal inkább, mint a vásárlás helyén,”biztonság állítják a kutatók Dikla Barda, római Alekszejevics Zaikin és Oded Vanunu report.
Bár ez a fajta támadás csak elméleti, valószínű, hogy azt bizonyítja, hogy sikeres legyen. Ez nagyrészt köszönhető, hogy AliExpress mutat a hasonló pukkanás-felemel, ahol a felhasználók felkérik, hogy betesz a kártya adatait ahhoz, hogy egy jobb vásárlási élmény, amellett, hogy kuponok. Így ha használók van a rosszindulatú pukkanás-felemel, még a leg–bb biztonság óvatos is lehet, hogy nem gyanítja, valami nem stimmel.
Egy teljes magyarázat-ra hogyan kutatók fedezték fel a biztonsági rés megtalálható here.
AliExpress rögzítette a biztonsági rés
A kutatók, aki felfedezte a hibát jelentette AliExpress, aki azonnal fix, hogy két napon belül.
“Felfedezése után a biztonsági rést, ellenőriz pont kutatók azonnal tájékoztatni a AliExpress (9. október), aki miatt cybersecurity nagyon komolyan, vette a gyors cselekvés és rögzített (október 11-én) két napon belül. Ez nagyon dicséretes, és más online kiskereskedők példát.”