Check Point forskare har nyligen identifierat ett säkerhetsproblem i AliExpress portal som kan potentiellt leda till stulna känslig information, främst kreditkortsuppgifter. AliExpress är en mycket populär shopping webbplats som vänder sig till cirka 100 miljoner kunder. Användarna kan hitta nästan vad som helst på webbplatsen, och deras kuponger attrahera både nya och återvändande kunder.
det är inte ovanligt att se AliExpress ber användare att sätta i sina kreditkortsuppgifter för en snabbare och smidigare kolla och ger ofta ut kuponger i exchange. Forskare har upptäckt ett sätt hackare kunde teoretiskt dra nytta av det, och användarna skulle omedvetet ge deras bankuppgifter till skadliga aktörer.
Hur attacken kunde arbeta
Potentiella angripare skulle sända ut e-postmeddelanden med länkar till en komprometterad AliExpress-sida med en skadlig JavaScript-kod. Teoretiskt, om någon klickade på länken och kom in på sidan, den skadliga koden skulle utföras i användarens webbläsare, som skulle göra det möjligt för det att kringgå Aliexpresss skydd mot cross-site scripting attacker.
En gång på webbplatsen, ett popup-fönster verkar identisk med den legitima AliExpress kupong pop-up, hävdar att du kan få en kupong om du sätter i dina kreditkortsuppgifter. Om du satte i informationen, i stället för en snabbare och smidigare check ute, skulle du att ge angripare med dina bankuppgifter.
”Angriparna kunde sedan presentera en popup-kupong erbjudande på startskärmen – körs under en AliExpress ägs underdomän – ber kunder att ange kreditkortsuppgifter för en smidigare och effektivare shoppingupplevelse. Angriparna, dock enbart styr detta popup-fönster med alla kreditkortsuppgifter anges skickas direkt till dem i stället för shoppingwebbplatsen ”, säkerhetsforskare Dikla Barda, Roman Zaikin och Oded Vanunu report.
Även om denna typ av attack är bara teoretisk, är det troligt att det skulle visa sig vara framgångsrika. Detta är till stor del beror på att AliExpress visar liknande pop-ups, där användarna uppmanas att sätta i sina kortuppgifter att säkerställa en bättre shoppingupplevelse, förutom kuponger. Så om användare fick skadlig pop-ups, inte kanske även de mest säkerhet-försiktiga som misstänker något är fel.
En fullständig förklaring på hur Forskarna upptäckte sårbarhet kan hittas here.
AliExpress fast sårbarhet
De forskare som upptäckte felet rapporteras det att AliExpress, som omedelbart fast det inom två dagar.
”Efter att upptäcka sårbarhet, kontrollera punkt forskarna omedelbart informerade AliExpress (9 okt) som på grund av tar cybersäkerhet allvar tog snabba åtgärder och fixade det inom två dagar från delgivningen (11 oktober). ”Detta är mycket lovvärt och ett föredöme för andra återförsäljare online”.