Η αναφερόμενη ευπάθεια θα μπορούσε να επιτρέψει σε επιτιθέμενο να υποκλέψει τις προσωπικές πληροφορίες των εκατοντάδων εκατομμυρίων χρηστών του AliExpress χωρίς να γνωρίζει τους κωδικούς πρόσβασης των λογαριασμών τους.
Η AliExpress είναι μια online αγορά που ανήκει στον κινεζικό γίγαντα του ηλεκτρονικού εμπορίου Alibaba.com, το οποίο προσφέρει σε περισσότερους από 300 εκατομμύρια ενεργούς χρήστες από περισσότερες από 200 χώρες και περιοχές, τη δυνατότητα να παραγγείλουν προϊόντα μαζικά ή ένα τη φορά σε χαμηλές τιμές χονδρικής.
Ο Amitay Dan, ένας Ισραηλινός ερευνητής ασφάλειας εφαρμογών που εργάζεται στη Cybermoon.cc, ανέφερε την ευπάθεια στο The Hacker News μετά την αποκάλυψη του κενού ασφάλειας στην ομάδα του AliExpress και τα ισραηλινά μέσα ενημέρωσης.
Σύμφωνα με το Proof-of-Concept βίντεο και τα screenshots που εστάλησαν από τον ερευνητή ασφάλειας στο The Hacker News, το AliExpress επιτρέπει στον συνδεδεμένο χρήστη να προσθέσει / ενημερώσει τη διεύθυνσή του και το τηλέφωνο επικοινωνίας, στην ακόλουθη διεύθυνση URL,:
http://trade.aliexpress.com/mailingaddress/mailingAddress.htm?mailingAddressId=123456
όπου “123456” είναι το user ID του συνδεδεμένου χρήστη. Ο ερευνητής παρατήρησε ότι απλά αλλάζοντας την τιμή της παραμέτρου “mailingAddressId“, θα μπορούσε κανείς να εκμεταλλευτεί εύκολα το κενό ασφάλειας στο validation της ιστοσελίδας έτσι ώστε να εμφανιστεί η ταχυδρομική διεύθυνση και τα στοιχεία επικοινωνίας του εκάστοτε χρήστη στην ίδια σελίδα, όπως φαίνεται στο σχετικό screenshot:
Ένας επιτιθέμενος μπορεί με αυτόν τον τρόπο να συλλέξει προσωπικές πληροφορίες εκατομμυρίων χρηστών του AliExpress μόνο με τη χρήση ενός αυτοματοποιημένου script για να δοκιμάσει στη σελίδα “mailingAddress.htm” όλους τους πιθανούς αριθμούς μεταξύ 1 – 99999999999 στη “mailingAddressId” τιμή της παραμέτρου.
Ο ερευνητής ασφάλειας δήλωσε ότι η ευπάθεια έχει αναφερθεί στην ομάδα του AliExpress και ότι θα επιδιορθωθεί σύντομα.
loading...
Δημοσίευση σχολίου
Δεν διμοσιεύονται σχόλια υβριστικού περιεχομένου. Την αποκλειστική ευθύνη για τα σχόλια την έχουν οι σχολιαστές.