FreeBuf:不被PayPal待见的6个安全漏洞
本文插图
最近 , Cybernews分析人员称 , 他们发现了和PayPal相关的6个高危漏洞 , 攻击者利用这些漏洞可以实现:绕过PayPal登录后的双因素认证(2FA)、使用其内部智能聊天系统发送恶意代码 。 然而就在上报了这些漏洞后 , Cybernews遇到了无休止拖延、无人回应、含糊响应和不被重视的情形 。 以下是Cybernews就发现的6个漏洞进行的说明 , 抛开是非对错 , 我们只来围观其技术姿势就好 。
漏洞1:登录后的PayPal双因素认证(2FA)绕过在对 PayPal for Android (v. 7.16.1)的安卓APP分析中 , 我们发现PayPal对用户手机和邮箱的身份验证存在登录后的2FA认证漏洞 。 也就是说当攻击者以其它方式获取了受害者的密码凭据实施登录后 , 由于PayPal判定攻击者使用的手机设备或IP地址与之前受害者的不同 , 从而会发起一个2FA方式的身份验证 , 此时 , PayPal会通过短信或邮箱发送一个验证码给当前登录的攻击者 , 只有正确输入该验证码 , 登录才能继续往下真正有效进入受害者账户 。
本文插图
PayPal的2FA采用了Authflow方式 , 当用户从新手机、新位置或新IP地址执行账户登录时就会触发2FA验证 。 在漏洞测试过程中 , 我们用抓包拦截代理(Charles)观察PayPal APP的具体网络活动 , 经过一番研究 , 我们发现了一个提权Token , 可以用它来绕过上述登录后的2FA认证 。 (由于漏洞目前尚未修复 , 在此不作过多细节描述)
本文插图
关于该漏洞我们的关注点是:目前黑市中存在大量PayPal用户密码凭据信息泄露 , 如果恶意攻击者买下这些信息 , 然后配合上述我们发现的漏洞 , 就能轻松绕过PayPal登录后的2FA认证 , 进入受害者账户 , 对广大PayPal用户的账户安全形成威胁 。 但是 , PayPal却不这么认为 , 他们在回复邮件中称”这种形为不会导致任何安全问题“(there does not appear to be any security implications as a direct result of this behavior) 。
本文插图
漏洞2:未对手机验证方式实施动态口令我们分析发现 , 在PayPal新推出的一个应用系统中 , 它会检查注册手机号码是否为当前用户账户所持有 , 如果不是 , 则会拒绝进一步的登录 。 在该系统中 , 当用户用手机号码进行账户注册时 , 会向PayPal后端服务器api-m.paypal.com执行一个预录式呼叫或短信请求以进行用户状态确认 。 这里存在的问题是 , 我们可以更改其中的预录式呼叫确认方式 , 实现对用户注册绑定手机号码的更改 。 危害是由于可以不通过短信验证码 , 很多骗子可以利用该漏洞 , 绕过电话身份验证 , 创建欺诈账户 。
本文插图
我们上报漏洞后 , 刚开始PayPal的安全团队还是比较重视的 , 但是经过几次沟通交流 , 他们干脆就不回复了 。 现在的情况是 , PayPal直接把该漏洞报告关闭了 。
本文插图
漏洞3:转账安全措施可绕过为了避免欺诈和其它恶意行为 , PayPal在应用中内置了很多保护用户钱款的转账防护措施 , 来针对以下用户钱款操作:
使用一个新的电子设备进行登录转账;
从一个新的地理位置或IP地址实行转账;
改变你通常的转账模式;
你当前的转账账户刚注册不久 。
推荐阅读
- 张家三哥▲为什么我们的邻国蒙古国几乎不被人提起?原因不外乎三点!
- #黯然销魂寞#大街小巷随时使用,却不被中国女性接受,美国发明“一次性厕所”
- 黯然销魂寞■大街小巷随时使用,却不被中国女性接受,美国发明“一次性厕所”
- 凤权天下:近2米宽带8AT,深陷“降价门”,却不被理,又一款奥迪慢慢被遗忘
- 「文化课」那就是成为山羊,英伦疫事|上街不被警察盘问罚款
- 「支付通道大全」PayPal建议美国政府通过其平台向无银行账户民众发放新冠疫情救助
- 车市风向@迎合国人改槽点,就是不被认可,价不算高配置高
- 「重视」农村一种常见植物,曾经不被重视,现在成了稀罕物,价值高
- 懂史的一叶▲为何能在战国时期,名列战国七雄不被吞,燕国是一个边陲小国
- 「娱七娱扒」他真的拼了,萧敬腾承认恋情?网友:为了不被《歌手》淘汰