Check Point ricercatori recentemente identificato una vulnerabilità nel portale di AliExpress che poteva potenzialmente portare a informazioni sensibili rubate, principalmente i dettagli di carta di credito. AliExpress è un sito di shopping molto popolare che si rivolge a circa 100 milioni di clienti. Gli utenti possono trovare quasi tutto sul sito, e loro coupon attirare clienti nuovi e di ritorno.
non è raro vedere AliExpress chiedendo agli utenti di mettere nei loro dettagli di carta di credito per un più veloce e agevole check-out, e spesso danno buoni in cambio. I ricercatori hanno scoperto un hacker modo potrebbero teoricamente approfitta di quello e gli utenti inconsapevolmente fornirebbe loro informazioni bancarie a malintenzionati.
Come potrebbe funzionare l’attacco
Potenziali aggressori sarebbero inviare email con link a una pagina di AliExpress compromessa con un codice JavaScript dannoso. Teoricamente, se qualcuno fa clic sul link e inserito la pagina, il codice dannoso sarebbe eseguito nel browser dell’utente, che avrebbe permesso di bypassare la protezione contro attacchi cross-site scripting di AliExpress.
Una volta sul sito, un pop-up appare, identico al legittimo AliExpress coupon pop-up, affermando che è possibile ottenere un coupon se metti in carta di credito. Se hai messo le informazioni, invece di un più veloce e agevole check-out, si sarebbero fornendo gli attaccanti con i tuoi dati bancari.
“Gli aggressori potrebbero quindi presentare un pop-up coupon offerta sulla schermata iniziale – in esecuzione in un sottodominio – chiedendo ai clienti di fornire dettagli di carta di credito per consentire un’esperienza di shopping più agevole e più efficiente di proprietà di AliExpress. Gli aggressori, tuttavia, sono solamente controllando questa finestra pop-up con tutti i dettagli di carta di credito inseriti inviata direttamente a loro, piuttosto che il sito di shopping,”i ricercatori di sicurezza Dikla Barda, report Roman Zaikin e Oded Vanunu.
Anche se questo tipo di attacco è solo teorico, è probabile che si sarebbe rivelato per essere successo. Questo è in gran parte dovuto al fatto che AliExpress mostrare pop-up simile, dove gli utenti vengono chiesto di mettere nei loro dettagli scheda per assicurare un’esperienza utente migliore, oltre a buoni. Quindi se gli utenti ha ottenuto il pop-up dannosi, anche quelle più sicurezza-prudente non potrebbero sospettare qualcosa non va.
Una spiegazione completa su come i ricercatori hanno scoperto la vulnerabilità può essere trovata here.
AliExpress risolto la vulnerabilità
I ricercatori che hanno scoperto il difetto riferito alla AliExpress, che immediatamente riparato entro due giorni.
“Dopo aver scoperto la vulnerabilità, verifica punto ricercatori immediatamente informato AliExpress (9 ottobre) che, a causa di prendere molto sul serio, cybersecurity ha preso un’azione rapida e riparato entro due giorni dalla notifica (11 ottobre). Questo è altamente lodevole e costituisce un esempio per altri rivenditori online”.