オンライン支払い処理の「セキュリティホール」により、電子機器、DVD、定期刊行物の電子サブスクリプション、衛生製品、その他の製品を自分で設定した価格で購入することができました。 研究者は、関連する店舗に発見されたセキュリティの脆弱性を通知し、修正を支援しました。 (情報源:インディアナ大学、 インディアナ大学 )
場合によっては、外部の支払いサービス( Cashier-as-a-a-service、CaaS )であるAmazon Paymentを介して購入したことをオンラインストアに納得させ、Amazonで自分の商用アカウントに支払いました。 研究者は、電気電子技術者協会の後援の下、カリフォルニア州オークランドで開催されたセキュリティとプライバシーに関するシンポジウムで[2011] 5月に詳細を提供する予定です。
主要な商用アプリケーションであるNopCommerceおよびInterspire 、 Amazon Paymentsなどの外部支払いサービスのプロバイダー、および一部の一般的なオンライン取引プラットフォームには、データ処理のロジックに重大な欠陥があります。 これにより、攻撃者は、トレーディングフロアと外部の支払いサービス( Amazon Payments 、 PayPal 、 Google Checkout )の間で支払いステータスを転送する際に、不整合を利用できます。
言及された各ケースで、研究者は発見された脆弱性について影響を受けた当事者に通知し、違法に受け取った商品を返品し、発見されたエラーの性質と修正方法についてサービスに相談しました。
「外部の支払いサービスを使用する場合、発見された脆弱性を利用できる攻撃者がいないことを確認することは非常に難しいと考えています」-研究の共著者であり、インディアナ大学のコンピューターサイエンスとコンピューターサイエンスの教授であるXiaoFeng Wang氏は述べています。
「さらに、3層の相互作用(取引アプリケーション、オンラインストア、外部支払いサービスの間)は、ブラウザーとサーバー間の2層相互作用よりも複雑であるため、潜在的な論理エラーが検出されます。」
研究者によると、ほとんどの脆弱性は取引アプリケーションで発見されましたが、責任の一部は外部支払いサービスにあります。 あるケースでは、AmazonペイメントのSDKに脆弱性が発見されたため、支払い通知の確認方法を真剣に変更する必要がありました。
レポートで述べたように、予備調査は単純な3リンクの相互作用のみに影響し、オークションや統合取引プラットフォームなど、他の関係者を巻き込むためのオプションを考慮しませんでした。 ほとんどの場合、このようなオプションはさらに脆弱です。
この研究の主著者である大学院生のRui Wangによると、
「多層Webアプリケーションには、さらなるセキュリティ作業が必要になります。 外部支払いサービスに基づいたシステムの複雑なメカニズムを分析し、そのようなシステムの開発およびテストの段階でセキュリティの問題を提起する必要があるという結論に達しました。 私たちの仕事は、ハイブリッドWebアプリケーションのセキュリティ課題の新しい領域における最初のステップと考えています。
Microsoft Research(ワシントン州レドモンド)のShuo ChenとShaz Qadeerを含む調査チームは、攻撃者が価格の大きな違いで2つの購入を行い、より安く戻ってより多くの払い戻しを受けることができる同様の脆弱性を考慮することを提案します親愛なる。
「1ドルと10ドルの注文を出して、1ドルの注文をキャンセルし、10ドルの注文のために資金が返されたら面白いでしょう」Rui Wangを追加します。
[2011] 1月、Rui Wangと彼の研究監督者であるXiaoFeng Wang、およびMicrosoftの研究者であるShuo Chenは、 Facebookで脆弱性を発見した研究チームのメンバーでした。 この脆弱性により、悪意のあるサイトが個人ユーザーデータを受信して広めることができました。 Facebookは、見つかったエラーを後で確認して修正しました。