Alipei(Alibaba company)は、中国で非常に人気のある決済サービスであり、徐々に世界中に広がり始めています。 中国では、Alipeiは非常に多くの場所とサービスで使用されていますが、他の国では、Alipeiはこれまでのところ、Aliexpress(Alibaba company)での購入の支払いにのみ使用されています。 現在、Alipayでは、ユーザーはクレジットカードを保存できます。また、Aliexpressで購入する場合、保存されたクレジットカードを使用して、実際にデータを入力せずに支払います。
Alipayサービスについて少し知ったので、Aliexpressで使用できます。 Alipeiに登録するとき、通常の登録プロセスと同様に、パスワードを作成します。 支払いのためにサービスを使用している間、Alipeiはシステムに入るためにパスワードを入力するように頼みます、しかし、ここに興味深いことがあります。
あなたが自宅にいるときにAliexpressモバイルアプリケーションを介して購入した場合(そしてほとんどのバイヤーは自宅から購入します)、スマートフォンまたはタブレット上のアプリケーションはあなたのホームネットワーク(WiFi)を安全とマークし、その後の購入時にパスワードを要求しません! これは、別のネットワークから購入するまで続きます。
技術サポート担当者のAliexpressとAlipeiはこれを確認し、これを「ワンクリック・チェックアウト」機能の一部として行って、ユーザーの支払いをさらに簡単にすることを教えてくれました。
ワンクリックチェックアウトプロセスを説明するランディングページ: http : //activities.aliexpress.com/oneclickcheckout.php
スクリーンショット 
これにより、特に3つのケースで、Alipeiサービスのセキュリティについて考えるようになります。 最初の2つは2つの異なるオプションですが、結果は同じです。
オプション#1:携帯電話を紛失した場合(ロックなし)、誰かがそれを見つけた場合、クレジットカードを使用して何かを購入できますか?
オプション#2:同じことが、誰かがあなたの電話を盗んだ(これもブロックせずに)オプションに当てはまります。
オプション番号3:あなたはAliexpressとAlipayを欺きたい。 注文して、自分ではないことを伝えます。
各オプションを確認することにしました。 見つかった/盗まれた電話を使って誰かのクレジットカードを使って物を買う人なら、私が必要なもの:
1つ目はネットワークに接続することで、AliExpressモバイルアプリは安全だと記憶しています。 それは簡単です-あなたがしなければならないのは、電話の本当の所有者の住所を見つけることです。 私がチェックした:もちろん、Aliexpressアプリケーションには所有者のアドレスとアクセス権があり、保護されていません! 今、あなたは所有者の家/アパートのワイヤレスネットワークからかなり近い距離にいる必要があります-はい! 電話は所有者のルーターに自動的に接続します。
第二-アドレスを変更できるようにする必要があります。 簡単:Aliexpressアプリケーション> My Aliexpress>マイプロフィール>配送先住所>新しい住所を追加します。 できた! まったく保護されていません!
つまり、何かをハッキングするために多くの努力をする必要はなく、すべてがすでにアクセス可能です。
3番目のオプションについて:自分でだまして、Aliexpress / Alipeiを欺くことができますか?
もちろん、これは可能であることを知っています:今、私は自分で注文することができます、これには私とは関係のない住所が必要です(別の名前、姓、住所、別の都市または別の国でも)。 一部の友人の住所で対応します。 アリペイとクレジットカードを発行した銀行のレーダーに乗らないように、今は1日数回、100ドルから200ドルの少量の注文を行います。
特定の数の注文を行い、売り手から送られた後、Aliexpress / Alipayのサポートに連絡して、注文が私によって行われたのではなく、お金自体が盗まれたと言うことができます。とても簡単に使用できます。
さらに、私は警察に行き、私の電話が盗まれたと言って、証拠としてアリペイに声明を提供することができます。
すべてをチェックした後、Aliexpress / Alipeiのテクニカルサポートに連絡してこの脆弱性を報告しようとしましたが、次の応答がありました。
考慮してください:
1.ユーザーはログインして支払いを行う必要があります。 確認-所有者がログインした後、Aliexpressのアプリケーションはアカウントに永久に残ります。 これは役に立ちません。
2. Aliexpress / Alipeiは各支払いをチェックします。データに問題がある場合、パスワードと他のデータを要求します。 私たちはチェックします-Aliexpress / Alipayはセキュリティの観点から彼らがチェックしていることを正確に説明することを拒否しましたが、私たちが見たように、Aliexpress / Alipayは電話の所有者が注文したかどうかを本当に知ることができません。 これらの方法でも保存されません。
3.そして最後に、100%の補償! それにもかかわらず何かが起こった場合、Aliexpressは寛大に補償を約束します。
「さらに、パスワードなしでの支払いははるかに速く簡単です。楽しんでください」と彼らは私にアドバイスしました。 それはとても論理的なようです-彼らはそれが攻撃者にとって同じくらい簡単で速いだろうとは考えていませんでした。
テクニカルサポートからの最後のヒント:まだ心配な場合は、クレジットカードの詳細を削除してください! なに? どういうわけか自信を刺激しません。 システムは安全で安全ではありませんか?
まとめると
脆弱性は非常に簡単です。 すべての開発チームが他の開発チームに依存しているように感じ、最終的にはプロセス全体が脆弱になります! Aliexpress / Alipayがこの脆弱性をできるだけ早く修正することを願っています! そのままにしておくのは簡単すぎる! 私は何度もAliexpress / Alipeiのサポートに連絡してこの脆弱性を見せようとしましたが、いつも同じ答えを得ました。心配しないで、すべてが制御されています。 この脆弱性を聞き取り、削除したい人はいません。
ここで終了することは可能ですが、もう少し詳しく調べることにしました。
新しいAliexpressのフィッターを調べた後、サイトに追加の脆弱性が見つかりました。 誰かがAliexpressアプリケーションで電話を持っている場合、彼はサイトで彼のアカウントにも非常に簡単にログインできます。 すべては、Aliexpressへの入り口ページにあるQRコードによる新しい認証プロセスに感謝します。
アカウントのログインページの隅にあるQRサインに注意してください。
QRコードをクリックし、Aliexpressアプリケーションでスキャンして確認するだけです。 これにより、パスワードなしでサイトのアカウントにログインできます。 ここでは、すべてのユーザーデータを確認できます。ここから、Alipeiアカウントにログインできます。 もちろん、クレジットカードの詳細は表示できませんが、ほとんどすべてを表示できます。
最後に、最後にまとめます
すべてのAliexpress / Alipeiユーザーへの私の推奨事項:アプリケーションを使用し、クレジットカード情報がこのサービスに保存されている場合、電話をロックし(これは個人データの一般的なセキュリティにとって重要です)、必ずAlipeiに電話番号を入力してください購入と支払いに関する通知を受け取ります。このようにして、何かが発生したかどうかを知ることができます。
または、Alipayのサポートが提供するものを実行します。まだセキュリティが心配な場合は、Alipayサービスからクレジットカードを削除してください。