Tin An Ninh Mạng

Lỗi xác thực trên Paypal cho phép truy cập các tài khoản đã bị khóa

1489939945hacker-silhouette.jpg
Lỗ hổng trên bộ lọc hạn chế tài khoản của PayPal thông qua API mobile (giao diện lập trình ứng dụng cho mobile) cho phép truy cập các tài khoản đã bị khóa mà không cần cung cấp thông tin bảo mật chi tiết.

Thông thường, khi người dùng nhập sai username và password một vài lần, việc truy cập tài khoản trên máy tính sẽ bị khóa đến khi cung cấp chính xác câu trả lời bảo mật.

Tuy nhiên, tài khoản đó lại có thể truy cập trên di động, dĩ nhiên là với các thông tin đăng nhập chính xác.

Các tài khoản bị khóa có thể truy cập từ thiết bị iOS

Benjamin Kunz Mejri đã phát hiện ra lỗ hổng và thông báo tới PayPal. Theo trình tự, ông báo tới các bên quan tâm qua chương trình Bug Bounty vào tháng 3 năm 2013, tuy nhiên cho đến giờ lỗi này vẫn chưa được xử lý.

Sản phẩm bị ảnh hưởng là ứng dụng PayPal trên di động trên iOS cho cả iPhone và iPad. Các phiên bản này không phát hiện các ảnh báo hạn chế, dẫn đến từ chối truy cập tới tài khoản.

Trong báo cáo về lỗ hổng, Mejri cho biết phiên bản 4.6.0 của ứng dụng trên iOS bị ảnh hưởng. Hiện nay, bản mới nhất trên AppStore là 5.8, tuy nhiên ông cho hay lỗi này hiện vẫn đang tồn tại.

API chỉ kiểm tra xem tài khoản đó có còn tồn tại hay không, mà không kiểm tra việc tài khoản đang bị khóa. Do đó, người dùng có tài khoản bị khóa vẫn có thể truy cập PayPal và thực hiện giao dịch gửi tiền từ tài khoản.

Dưới đây video mô tả việc khai thác lỗi

[YOUTUBE]RXubXP_r2M4[/YOUTUBE]​
Nguồn: Softpedia

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !