Νέα παράκαμψη διαδικασιών πιστοποίησης στη PayPal

Ο Benjamin Kunz Mejri, Διευθύνων Σύμβουλος της Vulnerability Lab, ανακάλυψε μια μέθοδο παράκαμψης των διαδικασιών πιστοποίησης που χρησιμοποιούν κινητές εφαρμογές για να συνδεθούν στην PayPal, ακόμα και αν ο έλεγχος ταυτότητας δύο (2FA) είναι ενεργοποιημένος.hack PayPal

Όταν ένας προσπαθεί να συνδεθεί με λάθος διαπιστευτήρια πολλές φορές στην ιστοσελίδα της PayΡal από τον του, η εταιρεία μπλοκάρει το λογαριασμό, και του ζητάει να καλέσει έναν εκπρόσωπο της εταιρείας για να επαληθεύσει την ταυτότητά του, ή για να ανοίξει κάποιο ticket.

Είναι μια τυπική διαδικασία, και ο χρήστης δεν θα μπορέσει να έχει στον λογαριασμό του μέχρι που θα ακολουθήσει τα βήματα που περιγράψαμε.

Ωστόσο, ο κ Mejri διαπίστωσε ότι από τις εφαρμογές της PayPal για και iOS, οι χρήστες μπορούσαν να παρακάμπτουν τη διαδικασία πιστοποίησης και να αποκτήσουν πρόσβαση στο “μπλοκαρισμένο” λογαριασμό.

“Ακόμα και αν ο λογαριασμός είναι μπλοκαρισμένος ο χρήστης μπορεί να έχει πρόσβαση μέσω του API που χρησιμοποιεί η εφαρμογή του κινητού του, χρησιμοποιώντας τα υπάρχοντα cookies”, αναφέρει ο Mejri.

Σύμφωνα με τον ερευνητή, όταν ήρθε σε επαφή με την ΡayPal για να τους ανακοινώσει τα ευρήματά του, οι εργαζόμενοι της εταιρείας δεν ήταν σε θέση να αναπαράγουν τα βήματά του για να εξακριβώσουν την ευπάθεια.

Μετά από αναμονή τεσσάρων μηνών, ο Mejri δημοσίευσε τα ευρήματά του.

Δείτε το

PoC

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).