Thông thường, khi người dùng nhập sai username và password một vài lần, việc truy cập tài khoản trên máy tính sẽ bị khóa đến khi cung cấp chính xác câu trả lời bảo mật.
Tuy nhiên, tài khoản đó lại có thể truy cập trên di động, dĩ nhiên là với các thông tin đăng nhập chính xác.
Các tài khoản bị khóa có thể truy cập từ thiết bị iOS
Benjamin Kunz Mejri đã phát hiện ra lỗ hổng và thông báo tới PayPal. Theo trình tự, ông báo tới các bên quan tâm qua chương trình Bug Bounty vào tháng 3 năm 2013, tuy nhiên cho đến giờ lỗi này vẫn chưa được xử lý.
Sản phẩm bị ảnh hưởng là ứng dụng PayPal trên di động trên iOS cho cả iPhone và iPad. Các phiên bản này không phát hiện các ảnh báo hạn chế, dẫn đến từ chối truy cập tới tài khoản.
Trong báo cáo về lỗ hổng, Mejri cho biết phiên bản 4.6.0 của ứng dụng trên iOS bị ảnh hưởng. Hiện nay, bản mới nhất trên AppStore là 5.8, tuy nhiên ông cho hay lỗi này hiện vẫn đang tồn tại.
API chỉ kiểm tra xem tài khoản đó có còn tồn tại hay không, mà không kiểm tra việc tài khoản đang bị khóa. Do đó, người dùng có tài khoản bị khóa vẫn có thể truy cập PayPal và thực hiện giao dịch gửi tiền từ tài khoản.
Dưới đây video mô tả việc khai thác lỗi
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment