Wyboru punktu naukowcy zidentyfikowali niedawno lukę w AliExpress portal, który może prowadzić do kradzieży poufnych informacji, przede wszystkim szczegóły karty kredytowej. AliExpress jest szeroko popularne zakupy pajęczyny, które zaspokaja około 100 milionów klientów. Użytkownik puszka metalowa znaleźć prawie wszystko na miejscu, a ich kupony przyciągnąć nowych i powracających klientów.
nie jest rzadkością, aby zobaczyć AliExpress prosząc użytkowników, aby umieścić w ich szczegóły karty kredytowej za wymeldowanie szybciej i płynniej, i często dają się kupony w programie exchange. Naukowcy odkryli sposób hakerzy mogą teoretycznie Skorzystaj z tego i użytkowników nieświadomie zapewni ich dane bankowe do złośliwych stron.
Jak atak mógł pracować
Potencjalnemu napastnikowi wysłać e-maile z linkami do złamanego stronie AliExpress z złośliwy kod JavaScript. Teoretycznie Jeśli ktoś kliknięciu na link i wchodzilo na strone, złośliwy kod będzie wykonywane w przeglądarce użytkownika, co pozwala na ominięcie AliExpress dla ochrony przed atakami skryptów między witrynami.
Raz na stronie, pop-up pojawią się, identyczne z prawem AliExpress kupon pop-up, twierdząc, że można dostać kupon, jeśli umieścisz swoje dane karty kredytowej. Jeśli umieścisz w informacji, zamiast szybciej i płynniej wyboru, będzie zapewnienie napastników z Twoich danych bankowych.
„Napastników następnie może przedstawić ofertę kupon wyskakujące na ekranie – uruchomiona pod AliExpress własnością poddomeny – klientów, aby podać szczegóły karty kredytowej, aby umożliwić łatwiejsze i bardziej efektywne zakupy. Napastnicy, jednak wyłącznie kontroluj¹cy ten okno pop-up z wszystkie dane karty kredytowej przesyłane bezpośrednio do nich, a nie witryny sklepów,”bezpieczeństwa naukowcy Dikla Barda, Roman Zaikin i Oded Vanunu report.
Mimo, że tego rodzaju ataku jest tylko teoretyczne, jest prawdopodobne, że może okazać się pomyślnie. Jest to w dużej mierze ze względu na fakt, że AliExpress Pokaż podobne pop-upy, gdzie użytkownicy są proszeni o umieścić w danych swoich kart, aby zapewnić lepsze zakupy, oprócz kupony. Więc jeśli użytkownicy dostał złośliwego pop-upy, nawet te najbardziej ostrożnych zabezpieczeń nie podejrzewać coś jest nie tak.
Pełne wyjaśnienie, jak naukowcy odkryli lukę można znaleźć here.
Naprawiono usterkę AliExpress
Naukowcy, którzy odkryli wadę zgłosił go na AliExpress, który natychmiast stały się to w ciągu dwóch dni.
„Po odkryciu usterki, Sprawdź punkt naukowcy natychmiast poinformowane AliExpress (9 października), który, ze względu na bardzo poważnie biorąc cyberbezpieczeństwa podjęła sprawne działania i naprawiłem to w ciągu dwóch dni od powiadomienia (11 października). To jest szczególnie mile widziana i być przykładem dla innych sprzedawców online.”