Sjekk punkt forskere nylig identifisert et sikkerhetsproblem i AliExpress portal som kan føre til stjålet sensitiv informasjon, hovedsakelig kredittkortopplysninger. AliExpress er et allment populær shopping nettsted som henvender til rundt 100 millioner kunder. Brukere kan finne nesten alt på nettstedet, og sine kuponger tiltrekke både nye og returnerende kunder.
det er ikke uvanlig å se AliExpress be om brukernes å sette i sine kredittkortdetaljer for en raskere og jevnere sjekk ut, og de gir ofte ut kuponger i exchange. Forskere har avdekket en måte hackere kan teoretisk dra nytte av det, og brukernes ville uvitende gi deres bankinformasjon til skadelige parter.
Hvordan angrepet kan fungere
Potensielle angripere vil sende ut e-poster med lenker til en utsatt AliExpress side med en JavaScript-kode. Hvis noen klikket på linken og gått til siden, ville teoretisk koden kjøres i brukerens nettleser, som ville tillate det å omkjøringsvei Aliexpresss beskyttelse mot cross-site scripting-angrep.
En gang på området, et popup-vindu vises, identisk med den legitime AliExpress kupong pop-up, hevder at du kan få en kupong hvis du legger i kredittkort. Hvis du satte inn informasjonen, i stedet for en raskere og jevnere sjekk ut, ville du være å gi angripere med din bankinformasjon.
«Angriperne kan deretter presentere en popup kupong tilbud på Hjem-skjermen-kjører under et AliExpress eid underdomene-ber kundene oppgi kredittkortopplysninger for å tillate en jevnere og mer effektiv shopping opplevelse. Angriperne, men utelukkende kontrollerer denne vindu med alle kredittkortdetaljer angitt sendt direkte til dem i stedet for shopping området,»sikkerhetsforskere Dikla Barda, Roman Zaikin og Oded Vanunu report.
Selv om denne typen angrep er bare teoretisk, er det sannsynlig at det ville vise seg for å være vellykket. Dette er hovedsakelig på grunn av det faktum at AliExpress viser lignende pop-ups, der brukerne blir bedt om å sette i deres kortdetaljer å sikre en bedre shopping opplevelse, i tillegg til kuponger. Så hvis brukerne har de ondsinnede pop-ups, selv de mest sikkerhet-forsiktig ikke kan mistenker er noe galt.
Fullstendig forklaring på hvordan forskere oppdaget sikkerhetsproblemet finnes here.
AliExpress fast sikkerhetsproblemet
Forskerne som oppdaget feilen rapporteres det til AliExpress, som umiddelbart løst det innen to dager.
«Etter å oppdage sikkerhetsproblemet, sjekk punkt forskere umiddelbart informert AliExpress (9 oktober) som, på grunn av ta cybersecurity alvor, tok raskt og bestemt den innen to dager etter at melding (11 oktober). Dette er høyst prisverdig og angir et eksempel for andre nettbutikker.»