Έλεγχος σημείο οι ερευνητές αναγνώρισαν πρόσφατα ένα θέμα ευπάθειας στο AliExpress πύλη που θα μπορούσε δυνητικά να οδηγήσει σε κλοπή ευαίσθητων πληροφοριών, κυρίως τα στοιχεία της πιστωτικής κάρτας. AliExpress είναι μια ευρέως δημοφιλή εμπορική ιστοσελίδα που εξυπηρετεί περίπου 100 εκατομμύρια πελάτες. Χρήστες μπορούν να βρουν σχεδόν τίποτα στην ιστοσελίδα, και κουπόνια τους προσελκύουν τόσο νέους και επανερχόμενους πελάτες.
δεν είναι ασυνήθιστο να δείτε AliExpress ζητώντας από τους χρήστες να θεσπίσουν τις λεπτομέρειες πιστωτικών καρτών για μια ταχύτερη και ομαλότερη check out και δίνουν συχνά τα κουπόνια στο exchange. Οι ερευνητές έχουν αποκαλύψει ένα τρόπος οι χάκερ θα μπορούσε θεωρητικά να επωφεληθούν από αυτό, και οι χρήστες θα εν αγνοία τους παρέχουν πληροφορίες τραπεζικών τους κακόβουλους κόμματα.
Πώς η επίθεση θα μπορούσε να λειτουργήσει
Πιθανές επιτιθέμενους να στείλει μηνύματα ηλεκτρονικού ταχυδρομείου με τις συνδέσεις με ένα εξασθενημένο AliExpress σελίδα με έναν κακόβουλο κώδικα JavaScript. Θεωρητικά, αν κάποιος κάνει κλικ στο σύνδεσμο και μπήκε στη σελίδα, ο κακόβουλος κώδικας θα εκτελεστεί στο πρόγραμμα περιήγησης του χρήστη, το οποίο επιτρέπει την παράκαμψη της προστασίας του AliExpress επιθέσεων cross-site scripting.
Κάποτε στο site, ένα αναδυόμενο παράθυρο θα εμφανιστεί, πανομοιότυπο με το νόμιμο AliExpress κουπόνι pop-up, υποστηρίζοντας ότι μπορείτε να πάρετε ένα κουπόνι, αν βάλετε τα στοιχεία της πιστωτικής κάρτας σας. Αν βάλετε τις πληροφορίες, αντί για μια ταχύτερη και ομαλότερη check-out σας θα παρείχε στους επιτιθέμενους με τραπεζικές πληροφορίες σας.
«Οι επιτιθέμενοι θα μπορούσε τότε να παρουσιάσει ένα αναδυόμενο κουπόνι προσφοράς στην αρχική οθόνη – εκτελείται μια AliExpress ανήκει subdomain – ζητά από τους πελάτες να παρέχετε τα στοιχεία της πιστωτικής κάρτας να επιτρέψει για μια ομαλότερη και πιο αποτελεσματική εμπειρία αγορών. Οι επιτιθέμενοι, ωστόσο, αποκλειστικά και μόνο τον έλεγχο αυτό το αναδυόμενο παράθυρο με όλα τα στοιχεία της πιστωτικής κάρτας που εισήλθε αποστέλλονται απευθείας σε αυτά και όχι το site αγορών,» οι ερευνητές ασφαλείας Dikla ΒΑΡΔΑ, Ρωμαϊκή Zaikin και Oded Vanunu report.
Παρά το γεγονός ότι αυτού του είδους η επίθεση είναι μόνο θεωρητική, είναι πιθανό ότι θα αποδειχθεί να είναι επιτυχή. Αυτό είναι σε μεγάλο βαθμό οφείλεται στο γεγονός ότι AliExpress δείχνουν παρόμοια pop-ups, όπου οι χρήστες καλούνται να βάλει στα στοιχεία τους κάρτα για να εξασφαλίσουν μια καλύτερη εμπειρία αγορών, εκτός από τα κουπόνια. Έτσι εάν οι χρήστες πήρε το κακόβουλο τα αναδυόμενα παράθυρα, ακόμα και πιο ασφαλείας-προσεκτικοί αυτοί δεν ίσως υποψιάζεστε κάτι είναι λάθος.
Μια πλήρη επεξήγηση για το πώς οι ερευνητές ανακάλυψαν το θέμα ευπάθειας μπορεί να βρεθεί here.
AliExpress σταθερό το θέμα ευπάθειας
Οι ερευνητές που ανακάλυψαν το ελάττωμα αναφερθεί το AliExpress, που αμέσως το σταθερό εντός δύο ημερών.
«Μετά την ανακάλυψη της ευπάθειας, ελέγξτε το σημείο οι ερευνητές αμέσως ενημέρωσε AliExpress (9 Οκτ) που, λόγω της λαμβάνοντας πολύ σοβαρά, την ασφάλεια στον κυβερνοχώρο πήραν άμεση δράση και σταθερό εντός δύο ημερών από την κοινοποίηση (11 Οκτωβρίου). Αυτό είναι αξιέπαινο και θέτει ένα παράδειγμα σε άλλα ηλεκτρονικά βιβλιοπωλεία.»