Check Point forskere for nylig identificeret et sikkerhedsproblem i AliExpress portal, der kan potentielt føre til stjålne følsomme oplysninger, primært kredit kortdetaljer. AliExpress er en meget populær shopping hjemmeside, der henvender sig til omkring 100 millioner kunder. Brugere kan finde næsten alt på webstedet, og deres Kuponer tiltrække både nye og tilbagevendende kunder.
det er ikke ualmindeligt at se AliExpress bede brugere om at sætte i deres kreditkort detaljer for en hurtigere og smidigere tjek, og de give ofte ud kuponer i bytte. Forskere har afsløret en måde hackere kunne teoretisk drage fordel af det, og brugere ubevidst giver deres bankoplysninger til ondsindede parter.
Hvordan angrebet kunne arbejde
Potentielle hackere vil sende e-mails med links til en kompromitteret AliExpress side med en ondsindet JavaScript-kode. Hvis nogen har klikket på linket og indtastet siden, ville den skadelige kode teoretisk, udføres i brugerens browser, som gør det muligt at omgå Aliexpresss beskyttelse mod cross-site scripting angreb.
Én gang på webstedet, en pop-up synes, identisk med den legitime AliExpress kupon pop-up, hævder, at du kan få en kupon, hvis du lægger i dine kreditkortoplysninger. Hvis du har sat i oplysninger, i stedet for en hurtigere og smidigere check ud, ville du giver angriberne med dine bankoplysninger.
“Angriberne kunne derefter præsentere en pop-up-Kupon tilbud på startskærmen – kører under en AliExpress ejet underdomæne-beder kunder at give kreditkortoplysninger til at give mulighed for en glattere og mere effektiv shopping oplevelse. Angriberne, dog udelukkende styrer denne pop-up-vindue med alle kredit kortdetaljer indtastes sendt direkte til dem i stedet for shopping site”sikkerhed forskere Dikla Barda, Roman Zaikin og Oded Vanunu report.
Selv om denne slags angreb kun er teoretisk, er det sandsynligt, at det ville vise sig for at være vellykket. Dette er i høj grad, at AliExpress viser lignende pop-ups, hvor brugerne bliver bedt om at sætte i deres kortoplysninger til at sikre en bedre shopping oplevelse, ud over kuponer. Så hvis brugere fik de ondsindede pop-ups, selv de mest sikkerhed-forsigtig dem ikke måske har mistanke om noget er galt.
En fuld forklaring på hvordan forskere opdagede sårbarheden kan findes here.
AliExpress fastsættes for sårbarhed
De forskere, der opdagede fejlen rapporteret det til AliExpress, der straks nagelfast sig inden for to dage.
“Efter at opdage sårbarheden, tjek punkt forskere straks informeret AliExpress (9. okt), der på grund af at tage cybersikkerhed meget alvorligt, tog hurtig handling og fast det senest to dage efter anmeldelsen (11. oktober). Dette er meget prisværdigt og sætter et eksempel for andre onlineforhandlere.”