Check Point vědci nedávno odhalil chybu AliExpress portálu, který může potenciálně vést k odcizení citlivých informací, především údaje o kreditní kartě. AliExpress je široce populární nákupní web, který se zaměřuje na zhruba 100 milionů zákazníků. Uživatelé mohou najít téměř vše na místě a jejich kupóny přilákání nových a vracejících se zákazníků.
, to není vidět AliExpress žádají uživatele do své údaje o kreditní kartě pro rychlejší a hladší rezervaci a často rozdávat kupóny na serveru exchange. Vědci odhalili hackeři způsobem by mohl teoreticky využít to a uživatelé by nevědomky poskytnout své bankovní údaje zlými úmysly stran.
Jak by mohl fungovat útok
Potenciální útočníci by posílat e-maily s odkazy na narušený AliExpress stránky se škodlivým kódem JavaScript. Teoreticky je-li někdo klikl na odkaz a vstoupil stránky, škodlivý kód by byl proveden v prohlížeči uživatele, který by umožnil to obejít si AliExpress ochranu před útoky prostřednictvím skriptování mezi servery.
Jakmile na místě, automaticky otevírané okno by se mohlo zdát totožná s legitimní AliExpress kupón automaticky otevírané okno, tvrdí, že můžete získat kupón, pokud vložíte údaje o vaší kreditní kartě. Pokud jste dal v informacích, nikoli rychlejší a hladší kontrolu, by se poskytování útočníků s vaše bankovní informace.
„Útočníci by pak představují nabídku místní poukázky na domovské obrazovce – běžící pod AliExpress vlastní subdoménu – kladení zákazníkům poskytovat údaje o kreditní kartě pro plynulejší a efektivnější zážitek z nakupování. Útočníci, však jsou výhradně řízení toto překryvné okno se všemi detaily kreditní karty zadané odeslány přímo do nich spíše než nákupní místo,“bezpečnostní výzkumníci Dikla Barda, Roman Zaikin a Pavel Vanunu report.
Ačkoliv tento druh útoku je pouze teoretická, je pravděpodobné, že by dokázat, že úspěšný. Je z velké části tím, že AliExpress Ukázat podobné okna, kde jsou uživatelé vyzváni dát do své karty Podrobnosti k zajištění lepší nákupní zkušenost, kromě kupónů. Takže pokud uživatelé dostali škodlivý automaticky otevíraná okna, dokonce i bezpečnostní opatrné ty nemusí podezření, že něco není v pořádku.
Úplné vysvětlení, jak vědci objevili chybu lze nalézt here.
AliExpress opravena zranitelnost
Vědci, kteří objevili chybu ohlásil na AliExpress, který okamžitě opraven do dvou dnů.
„Po zjištění této chyby zabezpečení, zkontrolujte bod výzkumníci okamžitě informováni AliExpress (9. října), který, díky s kybernetickou bezpečnost velmi vážně, rychlé jednání a opravil to do dvou dnů po oznámení (11. října). To je chválihodné a následováníhodný příklad do dalších online prodejců.“