Check Point výskumníci nedávno zistené nedostatočné AliExpress portálu, ktoré by mohlo viesť k ukradnuté citlivé informácie, hlavne údaje o kreditnej karte. AliExpress je široko populárny nákupný webovej stránky, ktorá sa stará približne 100 miliónom zákazníkov. Užívateľov môžete nájsť takmer čokoľvek na mieste, a ich kupóny prilákať nových a vracajúcich sa zákazníkov.
to nie je nezvyčajné vidieť AliExpress pýtať užívateľom, aby ich informácie o kreditnej karte pre rýchlejšie a plynulejšie check out, a oni často rozdávať kupóny v programe exchange. Výskumníci objavili cestu hackeri mohli teoreticky Využite to a používatelia nevedomky poskytne svoje bankové informácie škodlivých strany.
Ako by mohla fungovať útok
Potenciálnym útočníkom by posielať e-maily s odkazmi na stránku AliExpress ohrozená škodlivý kód JavaScript. Teoreticky, ak niekto klikol na odkaz a zadali stránku, škodlivý kód by bol popravený v prehľadávači používateľa, ktorý by mu umožňoval, aby sa vyhla AliExpress-ochrana proti útokom vedeným skriptovaním medzi lokalitami.
Raz na mieste, pop-up zdá, rovnaké ako legitímne AliExpress kupón pop-up, tvrdia, že môžete získať kupón, ak dáte vaše údaje o kreditnej karte. Ak nemal dať informácie, namiesto rýchlejšie a plynulejšie check out, by útočníci poskytuje vaše bankové údaje.
“Útočníci mohli potom predložila ponuku pop-up kupón na domovskej obrazovke – bežiaci pod AliExpress vlastnil subdoménu – žiadajú zákazníkom poskytnúť údaje kreditnej karty umožňujúce plynulejšie a viac efektívne nakupovanie. Útočníkov, výlučne však ovládajú tento vyskakovacieho okna všetky údaje o kreditnej karte zadané priamo zaslané im skôr ako nákupné miesto”bezpečnostní experti Dikla Barda, Roman Zaikin a Oded porcuje Vanunu report.
Hoci tento druh útoku je len teoretické, je pravdepodobné, že by dokázal byť úspešný. Je do značnej miery spôsobené tým, že AliExpress Zobraziť podobné pop-ups, kde používatelia vyzvaní aby vo svoje údaje o karte zabezpečiť lepšie skúsenosti, okrem kupóny. Takže ak používatelia dostal škodlivý automaticky otváraných okien, aj tie bezpečnosť opatrný nie mohol domnievať, že je niečo zle.
Podrobné vysvetlenie ako Vedci objavili zraniteľnosti nájdete here.
AliExpress pevné zraniteľnosti
Výskumníci, ktorí objavili chybu to oznámiť AliExpress, ktorí okamžite opravená do dvoch dní.
“Po zistení zraniteľnosti, pozrite bod výskumníci okamžite informované AliExpress (9. októbra), ktorí kvôli s kybernetická bezpečnosť veľmi vážne vzal reagovat a opravená do dvoch dní od oznámenia (11. októbra). To je veľmi chvályhodné a vzorový príklad na ďalších online maloobchodníkov.”