Ο Benjamin Kunz Mejri, Διευθύνων Σύμβουλος της Vulnerability Lab, ανακάλυψε μια μέθοδο παράκαμψης των διαδικασιών πιστοποίησης που χρησιμοποιούν κινητές εφαρμογές για να συνδεθούν στην PayPal, ακόμα και αν ο έλεγχος ταυτότητας δύο παραγόντων (2FA) είναι ενεργοποιημένος.
Όταν ένας χρήστης προσπαθεί να συνδεθεί με λάθος διαπιστευτήρια πολλές φορές στην ιστοσελίδα της PayΡal από τον υπολογιστή του, η εταιρεία μπλοκάρει το λογαριασμό, και του ζητάει να καλέσει έναν εκπρόσωπο της εταιρείας για να επαληθεύσει την ταυτότητά του, ή για να ανοίξει κάποιο ticket.
Είναι μια τυπική διαδικασία, και ο χρήστης δεν θα μπορέσει να έχει πρόσβαση στον λογαριασμό του μέχρι που θα ακολουθήσει τα βήματα που περιγράψαμε.
Ωστόσο, ο κ Mejri διαπίστωσε ότι από τις εφαρμογές της PayPal για Android και iOS, οι χρήστες μπορούσαν να παρακάμπτουν τη διαδικασία πιστοποίησης και να αποκτήσουν πρόσβαση στο “μπλοκαρισμένο” λογαριασμό.
“Ακόμα και αν ο λογαριασμός είναι μπλοκαρισμένος ο χρήστης μπορεί να έχει πρόσβαση μέσω του API που χρησιμοποιεί η εφαρμογή του κινητού του, χρησιμοποιώντας τα υπάρχοντα cookies“, αναφέρει ο Mejri.
Σύμφωνα με τον ερευνητή, όταν ήρθε σε επαφή με την ΡayPal για να τους ανακοινώσει τα ευρήματά του, οι εργαζόμενοι της εταιρείας δεν ήταν σε θέση να αναπαράγουν τα βήματά του για να εξακριβώσουν την ευπάθεια.
Μετά από αναμονή τεσσάρων μηνών, ο Mejri δημοσίευσε τα ευρήματά του.
Δείτε το βίντεο