Алиэкспресс — одна из самых популярных торговых площадок, открывающая мир китайских товаров для покупателей с любой точки мира. Небольшое отступление про Алипэй для того, чтобы рассмотреть найденную проблему в системе безопасности.
Алипэй (компания Алибабы) является платежным сервисом, который очень популярен в Китае и потихоньку начинает распространяться по всему миру. В Китае Алипэй используется в очень многих местах и сервисах, в остальных странах Алипэй пока что используется только для оплаты покупок на Алиэкспресс (также компания Алибабы). В настоящее время Алипэй позволяет пользователям сохранить кредитную карту, а также, когда вы делаете покупку на Алиэкспрессе, использовать сохраненную кредитную карту для оплаты без фактического ввода её данных.
Теперь, когда мы знаем немного о сервисе Алипэй, мы можем использовать его на Алиэкспресс. При регистрации на Алипэй мы создаем пароль, как в каждом нормальном процессе регистрации. Во время использования услуги для оплаты Алипэй попросит вас ввести пароль для входа в систему, но вот интересная вещь.
Если вы сделали покупку через мобильное приложение Алиэкспресс, когда вы находитесь дома (а большинств�� покупателей совершают покупки из дома), приложение на смартфоне или планшете отметит вашу домашнюю сеть (WiFi) как безопасную и не будет спрашивать у вас пароль при последующих покупках! Так будет до тех пор, пока вы не сделаете покупку с другой сети.
Представители технической поддержки Алиэкспресс и Алипэй подтвердили это и сказали мне, что это будет сделано в рамках функции «One Click Checkout», чтобы сделать оплату еще проще для пользователей.
Вот лэндинговая страничка, которая объясняет процесс One Click Checkout: http://activities.aliexpress.com/oneclickcheckout.php
Все это заставляет меня задуматься о безопасности сервиса Алипэй, в особенности в трех случаях. Первые два — два различных варианта, но результат один и тот же.
Вариант №1: Представим, вы потеряли свой телефон (без какой-либо блокировки), сможет ли кто-то, найдя его, использовать вашу кредитную карту, чтобы что-то купить?
Вариант №2: То же самое относится и к варианту, в котором кто-то украл ваш телефон (тоже без блокировки);
Вариант №3: Вы хотите обдурить Алиэкспресс и Алипэй. Сделать заказы и заявить, что это были не вы.
Я решил проверить каждый вариант. Если бы я был тем, кто использует найденный / украденный телефон, чтобы использовать чью-то кредитную карту для покупки вещей, что мне нужно:
Первое — быть подключенным к сети, которую мобильное приложение Алиэкспресс запомнило как безопасную. Это просто — все, что нужно сделать, это узнать адрес реального владельца телефона. Я проверил: приложение Алиэкспресс имеет адрес владельца и доступ к нему конечно без какой-либо защиты! Теперь всего лишь нужно оказаться в достаточно близком расстоянии от беспроводной сети в доме / квартире владельца и — та да! Телефон автоматически подключается к роутеру владельца.
Второе — мне нужно иметь возможность изменить адрес. Легко: заходим в приложение Алиэкспресс > Мой Алиэкспресс > Мой профиль > адреса доставки > Добавить новый адрес. Готово! Никакой защиты вообще!
То есть не нужно сильно напрягаться, что-то взламывать, все и так доступно.
Теперь насчет третьего варианта: мог бы я сам сжульничать и обмануть Алиэкспресс / Алипэй?
Конечно, мы ведь знаем, что это возможно: теперь я могу сделать заказы самостоятельно, для этого нам нужен адрес, который не имеет никакого отношения ко мне (другое имя, фамилия, адрес, возможно, в другом городе или вообще в другой стране). Подойдет адрес какого-нибудь друга. Теперь я буду делать заказы пару раз в день в течение некоторого периода на небольшие суммы 100$-200$, чтобы не попадать на радары Алипэй и банка, выпустившего кредитную карту.
После того, как я сделал какое-то количество заказов, и они были отправлены продавцами, я могу связаться с поддержкой Алиэкспресс / Алипэй и заявить, что заказы были сделаны не мной, и собственно деньги были украдены, и все это из-за уязвимости, которую можно так легко использовать.
Более того, я могу пойти в полицию и заявить, что мой телефон был украден и предоставить Алипэй заявление в качестве доказательства.
Все проверив, я пытался связаться с технической поддержкой Алиэкспресс / Алипэй, чтобы сообщить об этой уязвимости, и получил следующий ответ:
Рассмотрим:
1. Пользователь должен войти в свой аккаунт, чтобы сделать платеж. Проверяем — приложение Алиэкспресс остается в аккаунте навсегда после того, как владелец вошел в систему. Это нам не поможет.
2. Алиэкспресс / Алипэй проверяет каждый платеж: если с данными что-то не так, мы запросим пароль и другие данные. Проверяем — Алиэкспресс / Алипэй отказались разъяснить, что именно они проверяют с точки зрения безопасности, но как мы видели, Алиэкспресс / Алипэй не может действительно знать, были заказы сделаны владельцем телефона или нет. Эти меры тоже не спасут.
3. И, наконец, 100% компенсация! Алиэкспресс щедро обещают компенсацию в случае, если все же что-то случится.
«И к тому же платить без пароля намного быстрее и проще, наслаждайтесь,» — посоветовали мне. Кажется, так логично — они просто не подумали, что это будет так же легко и быстро сделать злоумышленникам.
И последний совет от техподдержки: если вы все еще беспокоитесь, просто удалите данные кредитной карты! Что? Как-то не внушает доверие. Разве система не должна быть безопасной и защищенной?
Уязвимость очень проста. Такое ощущение, что каждая команда разработчиков полагалась на других, а в конечном итоге весь процесс уязвим! Я надеюсь, что Алиэкспресс / Алипэй исправит эту уязвимость как можно скорее! Это слишком просто, чтобы оставить как есть! Я много раз пытался связаться с поддержкой Алиэкспресс / Алипэй, чтобы показать эту уязвимость, но всегда получал тот же ответ: не волнуйтесь, все под контролем. Никто не хочет слушать и убрать эту уязвимость.
Здесь можно было бы и закончить, но я решил покопаться еще немного.
После того, как я исследовал новые фитчеры Алиэкспресс, я нашел дополнительную уязвимость на сайте. Если у кого-то есть телефон с приложением Алиэкспресс, он может войти в аккаунт довольно легко также и на сайте. Все благодаря новому процессу авторизации через QR код, находящийся на странице входа на Алиэкспресс.
Обратите внимание на QR-знак в углу страничке входа в аккаунт.
Все, что необходимо, это нажать на QR код, сканировать его через приложение Алиэкспресс и подтвердить. Это позволит вам войти в аккаунт на сайте без пароля. Здесь вы можете увидеть все данные пользователя, отсюда вы можете войти в учетную запись Алипэй! Конечно, вы не можете увидеть данные кредитных карт, но можно увидеть почти все.
Моя рекомендация для всех пользователей Алиэкспресс / Алипэй: если вы используете приложение, и данные вашей кредитной карты сохранены в этом сервисе, ставьте блокировку на вашем телефоне (это важно вообще для общей безопасности ваших личных данных) и обязательно введите свой номер телефона в Алипэй, чтобы получить оповещения о покупках и платежах: так вы будете знать, если что-то случится.
Или делайте то, что предлагает тех поддержка Алипэй: если вы все еще беспокоитесь по поводу безопасности — удалить кредитную карточку из сервиса Алипэй.
Алипэй (компания Алибабы) является платежным сервисом, который очень популярен в Китае и потихоньку начинает распространяться по всему миру. В Китае Алипэй используется в очень многих местах и сервисах, в остальных странах Алипэй пока что используется только для оплаты покупок на Алиэкспресс (также компания Алибабы). В настоящее время Алипэй позволяет пользователям сохранить кредитную карту, а также, когда вы делаете покупку на Алиэкспрессе, использовать сохраненную кредитную карту для оплаты без фактического ввода её данных.
Теперь, когда мы знаем немного о сервисе Алипэй, мы можем использовать его на Алиэкспресс. При регистрации на Алипэй мы создаем пароль, как в каждом нормальном процессе регистрации. Во время использования услуги для оплаты Алипэй попросит вас ввести пароль для входа в систему, но вот интересная вещь.
Если вы сделали покупку через мобильное приложение Алиэкспресс, когда вы находитесь дома (а большинств�� покупателей совершают покупки из дома), приложение на смартфоне или планшете отметит вашу домашнюю сеть (WiFi) как безопасную и не будет спрашивать у вас пароль при последующих покупках! Так будет до тех пор, пока вы не сделаете покупку с другой сети.
Представители технической поддержки Алиэкспресс и Алипэй подтвердили это и сказали мне, что это будет сделано в рамках функции «One Click Checkout», чтобы сделать оплату еще проще для пользователей.
Вот лэндинговая страничка, которая объясняет процесс One Click Checkout: http://activities.aliexpress.com/oneclickcheckout.php
Скриншот
Все это заставляет меня задуматься о безопасности сервиса Алипэй, в особенности в трех случаях. Первые два — два различных варианта, но результат один и тот же.
Вариант №1: Представим, вы потеряли свой телефон (без какой-либо блокировки), сможет ли кто-то, найдя его, использовать вашу кредитную карту, чтобы что-то купить?
Вариант №2: То же самое относится и к варианту, в котором кто-то украл ваш телефон (тоже без блокировки);
Вариант №3: Вы хотите обдурить Алиэкспресс и Алипэй. Сделать заказы и заявить, что это были не вы.
Я решил проверить каждый вариант. Если бы я был тем, кто использует найденный / украденный телефон, чтобы использовать чью-то кредитную карту для покупки вещей, что мне нужно:
Первое — быть подключенным к сети, которую мобильное приложение Алиэкспресс запомнило как безопасную. Это просто — все, что нужно сделать, это узнать адрес реального владельца телефона. Я проверил: приложение Алиэкспресс имеет адрес владельца и доступ к нему конечно без какой-либо защиты! Теперь всего лишь нужно оказаться в достаточно близком расстоянии от беспроводной сети в доме / квартире владельца и — та да! Телефон автоматически подключается к роутеру владельца.
Второе — мне нужно иметь возможность изменить адрес. Легко: заходим в приложение Алиэкспресс > Мой Алиэкспресс > Мой профиль > адреса доставки > Добавить новый адрес. Готово! Никакой защиты вообще!
То есть не нужно сильно напрягаться, что-то взламывать, все и так доступно.
Теперь насчет третьего варианта: мог бы я сам сжульничать и обмануть Алиэкспресс / Алипэй?
Конечно, мы ведь знаем, что это возможно: теперь я могу сделать заказы самостоятельно, для этого нам нужен адрес, который не имеет никакого отношения ко мне (другое имя, фамилия, адрес, возможно, в другом городе или вообще в другой стране). Подойдет адрес какого-нибудь друга. Теперь я буду делать заказы пару раз в день в течение некоторого периода на небольшие суммы 100$-200$, чтобы не попадать на радары Алипэй и банка, выпустившего кредитную карту.
После того, как я сделал какое-то количество заказов, и они были отправлены продавцами, я могу связаться с поддержкой Алиэкспресс / Алипэй и заявить, что заказы были сделаны не мной, и собственно деньги были украдены, и все это из-за уязвимости, которую можно так легко использовать.
Более того, я могу пойти в полицию и заявить, что мой телефон был украден и предоставить Алипэй заявление в качестве доказательства.
Все проверив, я пытался связаться с технической поддержкой Алиэкспресс / Алипэй, чтобы сообщить об этой уязвимости, и получил следующий ответ:
Рассмотрим:
1. Пользователь должен войти в свой аккаунт, чтобы сделать платеж. Проверяем — приложение Алиэкспресс остается в аккаунте навсегда после того, как владелец вошел в систему. Это нам не поможет.
2. Алиэкспресс / Алипэй проверяет каждый платеж: если с данными что-то не так, мы запросим пароль и другие данные. Проверяем — Алиэкспресс / Алипэй отказались разъяснить, что именно они проверяют с точки зрения безопасности, но как мы видели, Алиэкспресс / Алипэй не может действительно знать, были заказы сделаны владельцем телефона или нет. Эти меры тоже не спасут.
3. И, наконец, 100% компенсация! Алиэкспресс щедро обещают компенсацию в случае, если все же что-то случится.
«И к тому же платить без пароля намного быстрее и проще, наслаждайтесь,» — посоветовали мне. Кажется, так логично — они просто не подумали, что это будет так же легко и быстро сделать злоумышленникам.
И последний совет от техподдержки: если вы все еще беспокоитесь, просто удалите данные кредитной карты! Что? Как-то не внушает доверие. Разве система не должна быть безопасной и защищенной?
Подведем итог
Уязвимость очень проста. Такое ощущение, что каждая команда разработчиков полагалась на других, а в конечном итоге весь процесс уязвим! Я надеюсь, что Алиэкспресс / Алипэй исправит эту уязвимость как можно скорее! Это слишком просто, чтобы оставить как есть! Я много раз пытался связаться с поддержкой Алиэкспресс / Алипэй, чтобы показать эту уязвимость, но всегда получал тот же ответ: не волнуйтесь, все под контролем. Никто не хочет слушать и убрать эту уязвимость.
Здесь можно было бы и закончить, но я решил покопаться еще немного.
После того, как я исследовал новые фитчеры Алиэкспресс, я нашел дополнительную уязвимость на сайте. Если у кого-то есть телефон с приложением Алиэкспресс, он может войти в аккаунт довольно легко также и на сайте. Все благодаря новому процессу авторизации через QR код, находящийся на странице входа на Алиэкспресс.
Обратите внимание на QR-знак в углу страничке входа в аккаунт.
Все, что необходимо, это нажать на QR код, сканировать его через приложение Алиэкспресс и подтвердить. Это позволит вам войти в аккаунт на сайте без пароля. Здесь вы можете увидеть все данные пользователя, отсюда вы можете войти в учетную запись Алипэй! Конечно, вы не можете увидеть данные кредитных карт, но можно увидеть почти все.
Наконец, подытожим окончательно
Моя рекомендация для всех пользователей Алиэкспресс / Алипэй: если вы используете приложение, и данные вашей кредитной карты сохранены в этом сервисе, ставьте блокировку на вашем телефоне (это важно вообще для общей безопасности ваших личных данных) и обязательно введите свой номер телефона в Алипэй, чтобы получить оповещения о покупках и платежах: так вы будете знать, если что-то случится.
Или делайте то, что предлагает тех поддержка Алипэй: если вы все еще беспокоитесь по поводу безопасности — удалить кредитную карточку из сервиса Алипэй.
