Специалисты в области компьютерных систем зарегистрировали серьезные
недостатки в программном обеспечении некоторых крупнейших торговых сайтов и
показали, как они могут быть атакованы с целью получения DVD, журналов в
электронном виде и других продуктов бесплатно или по сильно сниженным ценам,
которые не были установлены продавцами.
Материалы исследований, перенесенные на бумагу с целью представления на
симпозиуме IEEE Symposium on
Security and Privacy в следующем месяце, содержат обвинения против
создателей программного обеспечения, сайтов торговли в интернете и сторонних
компаний приема платежей от клиентов. Пользуясь ошибками программных
интерфейсов, которые совместно используют указанные выше 3 стороны,
исследователям удалось обмануть такие сайты, как Buy.com, JR.com и
LinuxJournalStore.com. (Позже исследователи отменили сделки и возвратили
полученные товары, чтобы обойти правовые и этические ограничения.)
Исследователи из компании Microsoft и университета Индианы показали, что
уязвимости берут начало в межсетевой коммуникации между конечным пользователем,
совершающим покупку, онлайн-продавцами и провайдерами-кассирами, такими, как
PayPal, Amazon Payments и Google Checkout. "Трёхстороннее взаимодействие"
настолько сложно, что две самые популярные e-commerce программы, используемые
как связующие элементы, могут быть с лёгкостью обмануты и могут одобрить сделки
без перевода денег или с переводом маленькой части денег, которая сильно
отличается от настоящей цены приобретаемого продукта.
"К сожалению, трехстороннее взаимодействие может быть значительно более
сложным, чем обычные двусторонние взаимодействия между браузером и сервером, как
в обычных веб-приложениях. Они, как было обнаружено, подвержены трудноуловимым
логическим ошибкам", - написали исследователи. "Поэтому мы считаем, что
подозревая присутствие вредоносного покупателя, который хочет воспользоваться
брешью между продавцом и CaaS, чрезвычайно сложно гарантировать безопасность
системы контроля платежей".
Один из методов, который они использовали для бесплатного получения товаров,
состоял в том, что исследователи создали собственный аккаунт продавца на Amazon
и затем приобрели вещь у другого продавца, использующего платежную систему
Amazon. По достижении контрольно-кассового пункта, они изменили данные,
посылаемые серверу их браузером таким образом, что оплата была зачислена на их
собственный аккаунт продавца, а не на счет продавца приобретенной вещи.
Отдельный метод состоял в клонировании цифрового маркера, который PayPal
Express использует для уникальной идентификации определенного платежа, и его
ввода в процесс оформления другого заказа. Такой фокус приводит к тому, что
Buy.com пропускает процесс оплаты во время оформления второго заказа, что
позволило исследователям получить покупаемую вещь совершенно бесплатно.
Еще одна атака использует логический недостаток в системе, используемой
PayPal, которой не удалось подтвердить общую сумму платежа от покупателя. Это
позволило фиктивному покупателю, которого исследователи назвали Марком,
заплатить $1.76 продавцу, которого они назвали Джеффом, а затем увеличить сумму,
указанную на сервере Джеффа, до $17.76.
"Интересно, что счёт-фактура Джеффа подтвердила платёж в размере $17.76", -
сообщили исследователи. "Не было никакого признака того, что на самом деле
платеж составлял $1.76".
Проблемы начинаются в двух самых распространенных пакетах программного
обеспечения для торговли в Интернете – NopCommerce с открытым исходным кодом и
коммерческой Interspire Shopping Cart. Путем исследования исходного кода или его
установкой на серверы лаборатории, стало возможным обнаружить уязвимости и найти
практические способы воспользоваться ими.
Вооружившись этими знаниями, они нацелились на собственное программное
обеспечение с закрытым кодом, используемое Buy.com и JR.com.
Они сказали, что проанализированное программное обеспечение было очень
уязвимо, потому что оно было разработано как достаточно гибкое и универсальное
для того, чтобы работать с различными интернет-магазинами и платежными
системами. Как результат, они обнаружили программные интерфейсы, которыми было
легко манипулировать.
"Хакерская сторона может использовать эти API для незаконных заказов,
устанавливать значения цен в своих вызовах по своему желанию, подписывать
сообщения подписью и запоминать сообщения, полученные от других участников, для
воспроизведения в будущем", - написали исследователи.
Исследователи отметили, что платежные системы также несут ответственность за
это. В Amazon Payments была обнаружена серьёзная ошибка в программном
обеспечении, которая позволяла атакующим предоставлять свои цифровые
сертификаты, которые используются во время процесса верификации.
Исследователями были Руи Ван и СяоФэн Ван из Университета Индианы и Шуо Чен и
Шаз Кадир из Microsoft. Они сказали, что они сообщили исследуемым сайтам и
компаниям об обнаруженных уязвимостях и все компании и сайты уже либо исправили
ошибки, либо объявили создание исправлений своей "приоритетной задачей".
Работа в формате PDF может быть найдена
здесь.
