Как то не очень понятна рабочая конфигурация в начале работы: скопировал код из Алиэкспресс себе в приложение, создал проблемный объект... Каким образом скопировал? Каким образом к его приложению подключилась библиотека Алиэкспресс для финализации обьекта?
В лазаде и наверняка в алиэкспресе можно привязать карточку. И вот если карточка привязана то тогда после взлома можно было бы от лица юзера делать покупочки на чужую карточку
А что можно сделать при помощи такой уязвимости? Если не сложно - приведите примеры. Ибо выглядит - я сделал какую то магию, что-то там нашел.. и там есть какая-тотуязвимость.. ну ок :) но даже хорошо разбираясь в разработке под андроид - не особо что понятно, если чесно. Но больше всего непонятно к чему ведет такая уязвимость?
В андроиде приложеньки живут в сендбоксе и считается что одно приложение не имеет доступ к данным другого приложения. Например какая-нибудь соцсеть не может тратить денюжки из банковского приложения. В данном случае любое злое приложение могло получить доступ к данным приложения али эксресса, в том числе токенам авторизации, что может быть плохо потому что например можно купить что-то от лица пользователя на его денюжки но на чужой адрес
@@korniltsevдаа, здорово! Ты молодец, конечно. 👍 Так глубоко понимать тему и осознавать куда дальше копать - это классно, конечно. Достойно! Молодец! 🤝
Я ничего не понимаю. И не понимаю, зачем я это посмотрел))))
Ну автор кнч молодец, крассава
Попробовать начать понимать можно с подборки для начинающих: vk.com/@spbctf-ctf-for-beginners
Как то не очень понятна рабочая конфигурация в начале работы: скопировал код из Алиэкспресс себе в приложение, создал проблемный объект... Каким образом скопировал? Каким образом к его приложению подключилась библиотека Алиэкспресс для финализации обьекта?
Ну и загрузить с диска ничего не получилось. Грузил /d/mRWYx0eNIQBNzA
Толково.Кстати пацанчик похож на Майкла Дудикофа
мне Кристофа Вальца напомнил
интересно были ли какие то существенные риски у алиекспресса пока существовал данный эксплойт? или у пользователя
В лазаде и наверняка в алиэкспресе можно привязать карточку. И вот если карточка привязана то тогда после взлома можно было бы от лица юзера делать покупочки на чужую карточку
@@korniltsev Серьёзно) спасибо
А что можно сделать при помощи такой уязвимости? Если не сложно - приведите примеры. Ибо выглядит - я сделал какую то магию, что-то там нашел.. и там есть какая-тотуязвимость.. ну ок :)
но даже хорошо разбираясь в разработке под андроид - не особо что понятно, если чесно. Но больше всего непонятно к чему ведет такая уязвимость?
В андроиде приложеньки живут в сендбоксе и считается что одно приложение не имеет доступ к данным другого приложения. Например какая-нибудь соцсеть не может тратить денюжки из банковского приложения. В данном случае любое злое приложение могло получить доступ к данным приложения али эксресса, в том числе токенам авторизации, что может быть плохо потому что например можно купить что-то от лица пользователя на его денюжки но на чужой адрес
я в своём пет проекте на жабе хотел через сериализацию передавать с фронта на бек через http....но теперь задумался 🤔😂
Интересно сколько Гугл или Али заплатили за труды?
4000$
@@korniltsevдаа, здорово! Ты молодец, конечно. 👍 Так глубоко понимать тему и осознавать куда дальше копать - это классно, конечно. Достойно! Молодец! 🤝
ну и загрузить ничего не получилось. Грузил d mRWYx0eNIQBNzA