Bonjour, les acheteurs en ligne! Aujourd’hui, nous avons amélioré et élaboré de nouveaux produits dans les magasins en ligne au plus bas prix, celui de la libre! En effet, quelques chercheurs en sécurité ont découvert une façon parmi tant d’autres d’exploiter les failles de sécurité dans le kit de développement intitulé «Amazon Payments» de sorte que quiconque possède un ordinateur et la modique somme de 20 € peut être un « pirate averti ». L’acheteur malveillant pourrait acheter à « un prix arbitrairement fixé,  sur une boutique après avoir payé pour un seul article »

Les chercheurs en sécurité de chez Indiana University Bloomington et Microsoft Research ont publié un document très intéressant caractérisé par son noms anglais Comment Shop gratuitement en ligne [PDF]. Rui Wang, Chen Shuo, Wang Xiaofeng, et Shaz Qadeer ont étudié les implications de sécurité pour les sites marchands qui ont accepté des paiements par les banques virtuels tels que, Amazon Payments, Google Checkout et PayPal. Les chercheurs ont appelé ces services de paiement tiers « Caisse-as-a-Service ou AAC. » Ils ont trouvé des «défauts logique grave qui pourrait être exploité pour causer des incohérences entre les Etats de la CAAS et le commerçant » quand ils ont étudié les applications de commerce comme NopCommerce open-source et commerciaux Interspire, magasins en ligne comme Buy.com et JR.com, et le CaaS fournisseur Amazon Payments. Selon Microsoft Research ¸ les chercheurs, pris par un élan de générosité ont alerté toutes les parties concernées sur les vulnérabilités.

Plus simplement, l’attaquant en tant que client donne des informations contradictoires au système de paiement et au commerçant. Ph.D. Université de l’Indiana Rui Wang (étudiant) a expliqué comment cela fonctionne à CNET Elinor Mills , en comparant un client malveillant à un «enfant méchant». Cet enfant peut dire des versions légèrement différentes de son histoire à sa mère pendant un appel téléphonique que lui quand sur un appel-à-tête à son père. Le kid « finit par l’approbation qu’il ne mérite pas. Tout dépend de savoir si papa et maman sont intelligents et assez prudent. »

Le site Buy.com a plus de 12 millions de clients dans sept pays. Comme les attaquants, les chercheurs ont pu sauter l’étape de paiement dans un deuxième ordre, tout en convaincant Buy.com que le second ordre a bien été payée. Au JR.com, la faille a permis un site Web malveillant de vendre des articles de JR.com à des prix arbitraires. Dans d’autres attaques, si l’élément «acheté» a été un élément numérique, il a été immédiatement téléchargé. Si elle était un objet physique qui ont besoin expédiés, l’attaquant pourrait utiliser un faux nom à une adresse postale valide pas lié à eux.

Amazon Payments a traités et corrigés le kit de développement logiciel vulnérable, mais travaille sur la correction de la vulnérabilité dans le logiciel Amazon Simple Pay. LinuxJournalStore contacté fournisseur de logiciels Interspire et, après l’aide du chercheur, a corrigé le bug dans la dernière version sur BigCommerce.com. bugs NopCommerce open-source ont été corrigé.

Pourtant, selon «Comment faire des emplettes pour Free en ligne», cette recherche fait qu’effleurer l’ampleur des problèmes de sécurité des « applications web hybride », laissant les autres fonctionnalités telles que d’annuler, de retour, de souscription, d’enchères, et le marché encore peu étudiée. « Une question intéressante pourrait être, par exemple, si nous pouvons vérifier une ordonnance de 1 $ et une ordonnance de 10 $, et d’annuler l’ordre de 1 $ pour obtenir 10 $ remboursés. Nous envisageons également les défis de sécurité qui viennent avec les intégrations de services web dans d’autres scénarios, par exemple, les réseaux sociaux et les services d’authentification web.  »

Avez-vous encore confiance en ce qui concerne les site de vente en ligne ?

(Article traduit et adapté du site networkworld)

Laisser un commentaire


Blogroll