|
Основателят и изпълнителен директор на компанията Vulnerability Lab Бенджамин Кунц Меджри (Benjamin Kunz Mejri) разкри уязвимост в API на мобилните приложения на PayPal, даваща възможност за заобикаляне на двойното удостоверяване и получаване на достъп дори до блокираните акаунти на тази платежна система. Бъгът е валиден и за двете приложения, съответно за Android и iOS. 
PayPal често изисква от потребителите да потвърдят своята самоличност чрез позвъняване или изпращане на електронна поща, с цел защита от мошеници. Докато не се получи потвърждение, акаунтът остава блокиран. 
Меджри успя да заобиколи тази система. Той забелязал, че когато неговият PayPal акаунт е блокиран, той не може да се логне, без да има действителни cookie, но когато се появява съобщение за грешка, в него има особена препратка. Препратката води до отваряне на целия сайт вътре в приложението и крах на процедурата за проверка на идентификацията. Експертът публикува и видеоклип, демонстриращ заобикаляне на проверките за блокиран акаунт чрез използване на текстови бисквитки от действителна сесия. Меджри допълва, че чрез този метод е възможно не само заобикаляне на метода за проверка на личността, а и системата за двойно удостоверяване. Към 8-ми септември бъгът не бе оправен, а Vulnerability Lab съощи, че PayPal знае за този проблем, но навярно не го счита за особено важен. |
|
