Твитнуть
Эксперт из Vulnerability Lab Бенджамин Кунц Межри (Benjamin Kunz Mejri) сообщил об уязвимости в мобильном приложении Пэйпал, позволяющей обойти двухфакторную аутентификацию и получить доступ даже к заблокированной учетной записи пользователя. Брешь затрагивает версии программы для iOS и Android.
С целью предотвращения мошенничества в некоторых случаях Пэйпал может запрашивать у пользователя подтверждение личности и блокировать его учетную запись. Для того чтобы ее разблокировать, необходимо позвонить или отправить электронное письмо на адрес сервиса согласно всплывающей форме. По словам Межри, уязвимость позволяет удаленному злоумышленнику получить доступ к заблокированному аккаунту путем множественных попыток авторизации.
«Осуществляя множественные попытки запросить форму с помощью реально существующей учетной записи ([email protected]:chaos666), мы смогли обойти проверку подлинности личности ее владельца, – сообщил Межри. – API загружает контекст сайта, и пользователь может включить в процесс идентификации с помощью движка браузера собственный пользовательский аккаунт. Даже если учетная запись заблокирована, пользователь может получить доступ через мобильный API с уже существующими файлами cookie».
Эта техника также срабатывает для обхода двухфакторной аутентификации, поскольку, получив доступ к учетной записи, атакующий может изменить ее настройки, в том числе пароль.
По словам Межри, он сообщил Пэйпал об уязвимости еще в апреле нынешнего года. Компания не исправила брешь, не посчитав ее критической. Эксперт не согласился с такой оценкой и опубликовал видео, демонстрирующее эксплуатацию уязвимости.
Источник: exploit.in
С целью предотвращения мошенничества в некоторых случаях Пэйпал может запрашивать у пользователя подтверждение личности и блокировать его учетную запись. Для того чтобы ее разблокировать, необходимо позвонить или отправить электронное письмо на адрес сервиса согласно всплывающей форме. По словам Межри, уязвимость позволяет удаленному злоумышленнику получить доступ к заблокированному аккаунту путем множественных попыток авторизации.
«Осуществляя множественные попытки запросить форму с помощью реально существующей учетной записи ([email protected]:chaos666), мы смогли обойти проверку подлинности личности ее владельца, – сообщил Межри. – API загружает контекст сайта, и пользователь может включить в процесс идентификации с помощью движка браузера собственный пользовательский аккаунт. Даже если учетная запись заблокирована, пользователь может получить доступ через мобильный API с уже существующими файлами cookie».
Эта техника также срабатывает для обхода двухфакторной аутентификации, поскольку, получив доступ к учетной записи, атакующий может изменить ее настройки, в том числе пароль.
По словам Межри, он сообщил Пэйпал об уязвимости еще в апреле нынешнего года. Компания не исправила брешь, не посчитав ее критической. Эксперт не согласился с такой оценкой и опубликовал видео, демонстрирующее эксплуатацию уязвимости.
Источник: exploit.in