Νέα παράκαμψη διαδικασιών πιστοποίησης στη PayPal

Ο Benjamin Kunz Mejri, Διευθύνων Σύμβουλος της Vulnerability Lab, ανακάλυψε μια μέθοδο παράκαμψης των διαδικασιών πιστοποίησης που χρησιμοποιούν κινητές εφαρμογές για να συνδεθούν στην PayPal, ακόμα και αν ο έλεγχος ταυτότητας δύο παραγόντων (2FA) είναι ενεργοποιημένος.hack PayPal

Όταν ένας χρήστης προσπαθεί να συνδεθεί με λάθος διαπιστευτήρια πολλές φορές στην ιστοσελίδα της PayΡal από τον υπολογιστή του, η εταιρεία μπλοκάρει το λογαριασμό, και του ζητάει να καλέσει έναν εκπρόσωπο της εταιρείας για να επαληθεύσει την ταυτότητά του, ή για να ανοίξει κάποιο ticket.

Είναι μια τυπική διαδικασία, και ο χρήστης δεν θα μπορέσει να έχει πρόσβαση στον λογαριασμό του μέχρι που θα ακολουθήσει τα βήματα που περιγράψαμε.

Ωστόσο, ο κ Mejri διαπίστωσε ότι από τις εφαρμογές της PayPal για Android και iOS, οι χρήστες μπορούσαν να παρακάμπτουν τη διαδικασία πιστοποίησης και να αποκτήσουν πρόσβαση στο “μπλοκαρισμένο” λογαριασμό.

“Ακόμα και αν ο λογαριασμός είναι μπλοκαρισμένος ο χρήστης μπορεί να έχει πρόσβαση μέσω του API που χρησιμοποιεί η εφαρμογή του κινητού του, χρησιμοποιώντας τα υπάρχοντα cookies”, αναφέρει ο Mejri.

Σύμφωνα με τον ερευνητή, όταν ήρθε σε επαφή με την ΡayPal για να τους ανακοινώσει τα ευρήματά του, οι εργαζόμενοι της εταιρείας δεν ήταν σε θέση να αναπαράγουν τα βήματά του για να εξακριβώσουν την ευπάθεια.

Μετά από αναμονή τεσσάρων μηνών, ο Mejri δημοσίευσε τα ευρήματά του.

Δείτε το βίντεο

PoC

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).