Алиэкспресс — одна из самых популярных торговых площадок, открывающая мир китайских товаров для покупателей с любой точки мира. Небольшое отступление про Алипэй для того, чтобы рассмотреть найденную проблему в системе безопасности.
Алипэй (компания Алибабы) является платежным сервисом, который очень популярен в Китае и потихоньку начинает распространяться по всему миру. В Китае Алипэй используется в очень многих местах и сервисах, в остальных странах Алипэй пока что используется только для оплаты покупок на Алиэкспресс (также компания Алибабы). В настоящее время Алипэй позволяет пользователям сохранить кредитную карту, а также, когда вы делаете покупку на Алиэкспрессе, использовать сохраненную кредитную карту для оплаты без фактического ввода её данных.
Теперь, когда мы знаем немного о сервисе Алипэй, мы можем использовать его на Алиэкспресс. При регистрации на Алипэй мы создаем пароль, как в каждом нормальном процессе регистрации. Во время использования услуги для оплаты Алипэй попросит вас ввести пароль для входа в систему, но вот интересная вещь.
Если вы сделали покупку через мобильное приложение Алиэкспресс, когда вы находитесь дома (а большинство покупателей совершают покупки из дома), приложение на смартфоне или планшете отметит вашу домашнюю сеть (WiFi) как безопасную и не будет спрашивать у вас пароль при последующих покупках! Так будет до тех пор, пока вы не сделаете покупку с другой сети.
Представители технической поддержки Алиэкспресс и Алипэй подтвердили это и сказали мне, что это будет сделано в рамках функции «One Click Checkout», чтобы сделать оплату еще проще для пользователей.
Вот лэндинговая страничка, которая объясняет процесс One Click Checkout: http://activities.aliexpress.com/oneclickcheckout.php
Все это заставляет меня задуматься о безопасности сервиса Алипэй, в особенности в трех случаях. Первые два — два различных варианта, но результат один и тот же.
Вариант №1: Представим, вы потеряли свой телефон (без какой-либо блокировки), сможет ли кто-то, найдя его, использовать вашу кредитную карту, чтобы что-то купить?
Вариант №2: То же самое относится и к варианту, в котором кто-то украл ваш телефон (тоже без блокировки);
Вариант №3: Вы хотите обдурить Алиэкспресс и Алипэй. Сделать заказы и заявить, что это были не вы.
Я решил проверить каждый вариант. Если бы я был тем, кто использует найденный / украденный телефон, чтобы использовать чью-то кредитную карту для покупки вещей, что мне нужно:
Первое — быть подключенным к сети, которую мобильное приложение Алиэкспресс запомнило как безопасную. Это просто — все, что нужно сделать, это узнать адрес реального владельца телефона. Я проверил: приложение Алиэкспресс имеет адрес владельца и доступ к нему конечно без какой-либо защиты! Теперь всего лишь нужно оказаться в достаточно близком расстоянии от беспроводной сети в доме / квартире владельца и — та да! Телефон автоматически подключается к роутеру владельца.
Второе — мне нужно иметь возможность изменить адрес. Легко: заходим в приложение Алиэкспресс > Мой Алиэкспресс > Мой профиль > адреса доставки > Добавить новый адрес. Готово! Никакой защиты вообще!
То есть не нужно сильно напрягаться, что-то взламывать, все и так доступно.
Теперь насчет третьего варианта: мог бы я сам сжульничать и обмануть Алиэкспресс / Алипэй?
Конечно, мы ведь знаем, что это возможно: теперь я могу сделать заказы самостоятельно, для этого нам нужен адрес, который не имеет никакого отношения ко мне (другое имя, фамилия, адрес, возможно, в другом городе или вообще в другой стране). Подойдет адрес какого-нибудь друга. Теперь я буду делать заказы пару раз в день в течение некоторого периода на небольшие суммы 100$-200$, чтобы не попадать на радары Алипэй и банка, выпустившего кредитную карту.
После того, как я сделал какое-то количество заказов, и они были отправлены продавцами, я могу связаться с поддержкой Алиэкспресс / Алипэй и заявить, что заказы были сделаны не мной, и собственно деньги были украдены, и все это из-за уязвимости, которую можно так легко использовать.
Более того, я могу пойти в полицию и заявить, что мой телефон был украден и предоставить Алипэй заявление в качестве доказательства.
Все проверив, я пытался связаться с технической поддержкой Алиэкспресс / Алипэй, чтобы сообщить об этой уязвимости, и получил следующий ответ:
Рассмотрим:
1. Пользователь должен войти в свой аккаунт, чтобы сделать платеж. Проверяем — приложение Алиэкспресс остается в аккаунте навсегда после того, как владелец вошел в систему. Это нам не поможет.
2. Алиэкспресс / Алипэй проверяет каждый платеж: если с данными что-то не так, мы запросим пароль и другие данные. Проверяем — Алиэкспресс / Алипэй отказались разъяснить, что именно они проверяют с точки зрения безопасности, но как мы видели, Алиэкспресс / Алипэй не может действительно знать, были заказы сделаны владельцем телефона или нет. Эти меры тоже не спасут.
3. И, наконец, 100% компенсация! Алиэкспресс щедро обещают компенсацию в случае, если все же что-то случится.
«И к тому же платить без пароля намного быстрее и проще, наслаждайтесь,» — посоветовали мне. Кажется, так логично — они просто не подумали, что это будет так же легко и быстро сделать злоумышленникам.
И последний совет от техподдержки: если вы все еще беспокоитесь, просто удалите данные кредитной карты! Что? Как-то не внушает доверие. Разве система не должна быть безопасной и защищенной?
Подведем итог
Уязвимость очень проста. Такое ощущение, что каждая команда разработчиков полагалась на других, а в конечном итоге весь процесс уязвим! Я надеюсь, что Алиэкспресс / Алипэй исправит эту уязвимость как можно скорее! Это слишком просто, чтобы оставить как есть! Я много раз пытался связаться с поддержкой Алиэкспресс / Алипэй, чтобы показать эту уязвимость, но всегда получал тот же ответ: не волнуйтесь, все под контролем. Никто не хочет слушать и убрать эту уязвимость.
Здесь можно было бы и закончить, но я решил покопаться еще немного.
После того, как я исследовал новые фитчеры Алиэкспресс, я нашел дополнительную уязвимость на сайте. Если у кого-то есть телефон с приложением Алиэкспресс, он может войти в аккаунт довольно легко также и на сайте. Все благодаря новому процессу авторизации через QR код, находящийся на странице входа на Алиэкспресс.
Обратите внимание на QR-знак в углу страничке входа в аккаунт.
Все, что необходимо, это нажать на QR код, сканировать его через приложение Алиэкспресс и подтвердить. Это позволит вам войти в аккаунт на сайте без пароля. Здесь вы можете увидеть все данные пользователя, отсюда вы можете войти в учетную запись Алипэй! Конечно, вы не можете увидеть данные кредитных карт, но можно увидеть почти все.
Наконец, подытожим окончательно
Моя рекомендация для всех пользователей Алиэкспресс / Алипэй: если вы используете приложение, и данные вашей кредитной карты сохранены в этом сервисе, ставьте блокировку на вашем телефоне (это важно вообще для общей безопасности ваших личных данных) и обязательно введите свой номер телефона в Алипэй, чтобы получить оповещения о покупках и платежах: так вы будете знать, если что-то случится.
Или делайте то, что предлагает тех поддержка Алипэй: если вы все еще беспокоитесь по поводу безопасности — удалить кредитную карточку из сервиса Алипэй.
Автор: georgyros