O Shopify Colocou os Usuários em Risco Recusando-se a Corrigir a Vulnerabilidade RFD
O Shopify tem sido um elemento importante para ajudar os donos de empresas a ter uma presença na Internet para vender e comercializar seus produtos. Até agora, a partir das estatísticas e dos comentários dos usuários do Shopify, os serviços provaram seu valor várias vezes e continuam sendo um dos métodos mais populares de venda de produtos pela Internet para uma ampla população demográfica de proprietários de empresas que são novos na Internet. marketing.
Por outro lado, tudo o que é bom no mundo do Shopify e seus serviços oferecidos, o pesquisador de segurança da Web português David Sopas descobriu uma vulnerabilidade de RFD (Reflected File Download) na plataforma do Shopify. A vulnerabilidade é aquela que conta com hackers para criar URLS que, se clicados, abririam um download de arquivo que parece vir de um site confiável.
O arquivo baixado do site questionável que finge ser uma fonte confiável, contém uma carga maliciosa que é iniciada após a execução do arquivo.
A exploração de RFD, de acordo com a pesquisa da Sopas, permite que hackers induzam os usuários a baixar arquivos perigosos em seu sistema. Sua pesquisa nos mostra que o domínio app.shopify.com é suscetível ao ataque do DFD que solicita que os usuários obtenham um download mal-intencionado em seu sistema e depois executem o(s) arquivo(s).
Na medida em que os navegadores da Web que a RFD explora podem ser acessados, parece haver poucas limitações. O ataque à RFD é explorável em navegadores novos e antigos, incluindo as versões 8 e 9 do Internet Explorer e várias versões do Google Chrome. Embora cada navegador da web possa manipular os arquivos de maneira diferente, através de vários redirecionamentos, o usuário pode ser apresentado para servir a exploração sem despertar nenhuma curiosidade.
Nas instâncias de uso do Internet Explorer e sendo explorado pelo ataque à RFD, o arquivo precisaria ser declarado com um atributo 'download' dentro de um elemento vinculável na página da web. Em outras palavras, o arquivo malicioso não pode ser integrado ao URL malicioso.
Ao clicar no link malicioso associado à exploração do ataque RDF, será exibida uma janela pop-up de confirmação de download, onde o local de download do arquivo seria no Shopify. A descoberta do Sr. Sopas dessa vulnerabilidade e a notificação ao Shopify para corrigi-lo levou a um beco sem saída. Nesse sentido, o Shopify não priorizou uma correção para esta vulnerabilidade e ela não será corrigida tão cedo quanto excluído pelo Shopify em uma mensagem endereçada à Sopas.
O cronograma da vulnerabilidade à RFD começou em 19 de março de 2015, após sua descoberta e continua sem correção na época da data de publicação deste artigo. Com a negação do Shopify de reconhecer ou corrigir a vulnerabilidade, leva pessoas como a Sopas a nunca utilizarem seus serviços novamente.
Alguns pesquisadores acreditam que o Shopify não terá escolha a não ser remediar a vulnerabilidade quando as notícias chegarem a sites de segurança da informação.