Otevřená Wi-Fi a slabé zabezpečení: skulina nejen na Alze

Na příkladu největšího českého e-shopu si ukážeme teoretické nebezpečí, kterému se vystavujete brouzdáním po nezabezpečených webech na otevřených Wi-Fi.

České e-shopy, včetně toho největšího, často nemají dostatečně zabezpečené weby. Teoreticky se můžete dostat do cizího uživatelského účtu, případně někdo do toho vašeho. Nejde to sice od stolu, a pokud nemáte v uživatelském účtu uložené i karty, tak žádné velké riziko nehrozí, ale přesto je to bezpečnostní díra hodná pozornosti. 

Odchyt přes Wi-Fi

Na chybu upozornil Petr Soukup a na svém blogu ji detailně popisuje na příkladu Alzy. Principiálně nejde o nic objevného, základem je odposlech Wi-Fi prostřednictvím aplikace Wireshark. S tou už jste se mohli seznámit v našich starších článcích o odposlouchávání Wi-Fi sítí a odchytávání účtů Facebooku. Jde tedy o odchytávání přístupů k uživatelským účtům na webu Alzy skrze Wi-Fi, což by při obrážení veřejných Wi-Fi mělo pramalou úspěšnost, ale stačí Wireshark spustit ve veřejné Wi-Fi v prodejně Alzy a rázem se šance razantně zvyšuje.

Klepněte pro větší obrázek 
ALZAFREE je název volně přístupné Wi-Fi sítě na pobočce Alzy (zdroj: souki.cz)

Útočit lze tedy na účty zákazníků, kteří si přijdou na pobočku Alzy vyzvednou zboží a objednávku se rozhodnou ještě zkontrolovat nebo se z jiného důvodu podávají na web Alzy se svými přihlašovacími údaji. Použijí-li k připojení veřejnou Wi-Fi v prodejně, ke které se připojíte i se svými telefonem a aktivní aplikací Wireshark, můžete odchytnout tzv. session cookie, identifikátory přihlášených uživatelů.

Nejde tedy o odhalení hesla, ale o zisk identifikátoru, který webu říká, že jste přihlášený jako konkrétní uživatel. Se znalostí tohoto identifikátoru pak můžete jedním řádkem skriptu zapsaném přímo do adresního řádku prohlížeče vstoupit na web Alzy jako cizí uživatel.

Klepněte pro větší obrázek Klepněte pro větší obrázek 
Sledování provozu v síti • a následný odchyt návštěvníka webu Alzy a vykopírování session cookie (zdroj: souki.cz)

Řešením je plné zabezpečení webu šifrovaným protokolem, ale to e-shopy aktuálně příliš neřeší. Zpravidla by tak útočník mohl získat jen jméno, adresu a telefon, tedy žádné klíčové osobní údaje, které by nebyl až takový problém získat někde jinde. Ovšem třeba taková historie objednávek, nebo dokonce uložené údaje k platebním kartám, to už problém je. A právě i onu správu platebních karet má Alza pod uživatelskými účty.

Klepněte pro větší obrázek 
Stačí zadat do internetového prohlížeče a jste přihlášeni. 

Čistě teoreticky tak může útočník získat přístup k uživatelskému účtu, kde budou uloženy platební karty a jejich prostřednictvím objedná zboží. To už je hodně vážné.

Klepněte pro větší obrázek 
Pod uživatelským účtem Alzy mohou být uchovány i údaje k platebním kartám (zdroj: souki.cz)

HTTPS jen někde není řešením

Jak na vyřčenou kritiku zareagovala Alza? Od PR manažerky jsme dostali následující vyjádření:

„Během včerejšího dne jsme nasadili novou verzi webu, kterou jsme připravovali delší dobu, a která řeší popsaný problém.

Přihlášení do uživatelského profilu a nákup tak již probíhá šifrovanou cestou. Šifrovaný web (HTTPS) využíváme a budeme využívat pro sekce Moje Alza, nákupní košík a přihlašovací dialog, kde probíhají zásadní operace s uživatelskými účty.

Navíc máme zavedena další bezpečnostní opatření, jako například ověření totožnosti kupujícího při nákupu placeném kartou.“

Jak ale upozorňuje Petr Soukup v novém příspěvku, zavedení šifrovaného přístupu je jen polovičaté a odchytit session cookie a přihlásit se jako jiný uživatel stále funguje. Řešením by bylo kompletní zajištění webu šifrovaným přístupem (HTTPS), nyní jsou zabepzečeny pouze stránky se správou uživatelských účtů, samotné přihlašování na web Alzy se stále odehrává na nezabezpečeném webu. 

Pozor na veřejné Wi-Fi

Je vhodné podotknout, že autor upozornění prodává HTTPS certifikáty a je tedy v jeho zájmu vzbudit diskuzi o zabezpečení webů. Ale ačkoli je šance na zneužití chyby malá a riziko diskutabilní, tak bezpochyby existuje.

Pro provozovatele webů je to inspirace k zamyšlení, zda se na jejich serverech nachází nějaké citlivější osobní informace, které by měly být řádně zabezpečeny. Pro uživatele pak vodítko k obezřetnosti, protože na jakýchkoli veřejných či neznalých Wi-Fi sítích není dobré procházet své uživatelské účty na nešifrovaných webech.

Těžko odhadnout, zda se najde nějaký nezbedník, který aktuálně zveřejněnou chybu bude chtít zneužít. Každopádně by se vniknutím do cizích uživatelských účtů dopustil trestního činu, o zneužití cizích kreditek k nákupu ani nemluvě. Materiální zboží by si tak asi jen těžko užil, protože při osobním odběru by mohl být vyzván ke kontrole karty a bezesporu by byl zaznamenán bezpečnostní kamerou, při doručení kurýrem by pak rovnou prozradil svou adresu. Ale Alza nabízí i nehmatatelný obsah jako je hudba, filmy či elektronické licence softwaru…

Diskuze (15) Další článek: Úspěšný DJ Avicii své dílo mixoval na kradeném softwaru

Témata článku: Web, Bezpečnost, Alza.cz, Wi-Fi, Odposlech, Alza, Šifrovaný protokol, Wi-fi karta, Nešifrovaný web, Přihlášený uživatel, Slabé Wi-fi, SLA, Veřejná Wi-fi, Platební údaj, Uživatelská data, Vodítko, Zabezpečení, Platební karta, Bezpečnostní opatření, Skulina, Popsaná kritika, Veřejné wi-fi, Popsaný problém, Šifrovaný web, Otevřená wi-fi


Určitě si přečtěte

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

** Total Commander je na Windows takřka legendou ** Licence však stojí více než tisíc korun ** Našli jsme pro vás deset alternativ dostupných zdarma

Karel Kilián | 123

Našli jsme 22 schopných internetových prohlížečů: Vyberte si, který vám nejvíc sedne

Našli jsme 22 schopných internetových prohlížečů: Vyberte si, který vám nejvíc sedne

** Není jen Chrome, Firefox, Edge či Opera. Na výběr máte mnohem více! ** Internetové prohlížeče se liší funkcemi, zaměřením i designem. Našli jsme 22 použitelných prohlížečů pro Windows ** Vyberte si prohlížeč, který vám bude nejvíce vyhovovat

Karel Kilián | 30

Blíží se Juno. Jeden z nejhezčích Linuxů pro normální lidi

Blíží se Juno. Jeden z nejhezčích Linuxů pro normální lidi

** Ubuntu a Fedora patří k nejpopulárnějším linuxovým OS pro desktop ** A pak je tu zástup dalších nebo jejich odvozenin ** Jedním z nich je Elementary OS, který se brzy dočká novinek

Jakub Čížek | 71

PrusaLab a FutLab: Praha se dočkala špičkových komunitních dílen pro hackery

PrusaLab a FutLab: Praha se dočkala špičkových komunitních dílen pro hackery

** Nejprve svoji velkou dílnu otevřelo Brno ** Letos se přidala i Praha ** Nabízí malé 3D tiskárny i velké průmyslové stroje

Jakub Čížek | 11

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 28

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

** Teplotní extrémy dokážou překvapit. Seznamte se s rekordy v Česku i ve světě ** Rekordní hodnoty jsou mnohdy až k neuvěření ** Zjistěte, kdy ke bylo největší horko, zima, déšť či vítr

Karel Kilián | 7


Aktuální číslo časopisu Computer

Kdy necháme řídit chytrá auta?

6 Wi-Fi Mesh systémů ve velkém testu

Srovnali jsme 7 sportovních kamer

Znáte pravidla pro létání s drony?