Бенджамин Кунц Межри, основатель и руководитель компании Vulnerability Lab, рассказал об уязвимости в мобильном приложении PayPal, которая позволяет обходить двухфакторную аутентификацию и получать доступ к аккаунтам пользователей, в том числе и заблокированным. Брешью затронуты версии программы для Android и iOS.
Иногда, чтобы предотвратить действия мошенников, PayPal может попросить пользователя подтвердить свою личность и в случае необходимости осуществить блокировку его аккаунта. Чтобы его разблокировать, нужно позвонить или отправить электронное письмо на адрес сервиса согласно всплывающей форме. Как утверждает Межри, используя уязвимость, злоумышленник может удаленно получить доступ к заблокированной учетной записи.
Как рассказал Межри, после многократного запрашивания формы, используя реально существующий аккаунт, экспертам удалось обойти проверку подлинности личности его владельца. API производит загрузку контекста сайта, и пользователем может быть включена в процесс идентификации собственная учетная запись. Даже если аккаунт заблокирован, у пользователя есть возможность заполучить доступ через мобильный API с уже существующими файлами cookie.
Этот метод также можно применить и для преодоления двухфакторной аутентификации, так как, имея доступ к аккаунту, злоумышленник может внести изменения в его настройки, в частности сменить пароль.
Межри проинформировал PayPal об уязвимости еще в апреле этого года, но компания не сочла ее критической и не стала исправлять. Специалист не согласился с такой оценкой и подготовил видеоролик, который демонстрирует каким образом можно воспользоваться уязвимостью.
Как уже сообщалось ранее, на прошлой неделе в PayPal зафиксировали XSS-уязвимость.