Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗi xác thực trên Paypal cho phép truy cập các tài khoản đã bị khóa
Lỗ hổng trên bộ lọc hạn chế tài khoản của PayPal thông qua API mobile (giao diện lập trình ứng dụng cho mobile) cho phép truy cập các tài khoản đã bị khóa mà không cần cung cấp thông tin bảo mật chi tiết.
Thông thường, khi người dùng nhập sai username và password một vài lần, việc truy cập tài khoản trên máy tính sẽ bị khóa đến khi cung cấp chính xác câu trả lời bảo mật.
Tuy nhiên, tài khoản đó lại có thể truy cập trên di động, dĩ nhiên là với các thông tin đăng nhập chính xác.
Các tài khoản bị khóa có thể truy cập từ thiết bị iOS
Benjamin Kunz Mejri đã phát hiện ra lỗ hổng và thông báo tới PayPal. Theo trình tự, ông báo tới các bên quan tâm qua chương trình Bug Bounty vào tháng 3 năm 2013, tuy nhiên cho đến giờ lỗi này vẫn chưa được xử lý.
Sản phẩm bị ảnh hưởng là ứng dụng PayPal trên di động trên iOS cho cả iPhone và iPad. Các phiên bản này không phát hiện các ảnh báo hạn chế, dẫn đến từ chối truy cập tới tài khoản.
Trong báo cáo về lỗ hổng, Mejri cho biết phiên bản 4.6.0 của ứng dụng trên iOS bị ảnh hưởng. Hiện nay, bản mới nhất trên AppStore là 5.8, tuy nhiên ông cho hay lỗi này hiện vẫn đang tồn tại.
API chỉ kiểm tra xem tài khoản đó có còn tồn tại hay không, mà không kiểm tra việc tài khoản đang bị khóa. Do đó, người dùng có tài khoản bị khóa vẫn có thể truy cập PayPal và thực hiện giao dịch gửi tiền từ tài khoản.
Dưới đây video mô tả việc khai thác lỗi
Thông thường, khi người dùng nhập sai username và password một vài lần, việc truy cập tài khoản trên máy tính sẽ bị khóa đến khi cung cấp chính xác câu trả lời bảo mật.
Tuy nhiên, tài khoản đó lại có thể truy cập trên di động, dĩ nhiên là với các thông tin đăng nhập chính xác.
Các tài khoản bị khóa có thể truy cập từ thiết bị iOS
Benjamin Kunz Mejri đã phát hiện ra lỗ hổng và thông báo tới PayPal. Theo trình tự, ông báo tới các bên quan tâm qua chương trình Bug Bounty vào tháng 3 năm 2013, tuy nhiên cho đến giờ lỗi này vẫn chưa được xử lý.
Sản phẩm bị ảnh hưởng là ứng dụng PayPal trên di động trên iOS cho cả iPhone và iPad. Các phiên bản này không phát hiện các ảnh báo hạn chế, dẫn đến từ chối truy cập tới tài khoản.
Trong báo cáo về lỗ hổng, Mejri cho biết phiên bản 4.6.0 của ứng dụng trên iOS bị ảnh hưởng. Hiện nay, bản mới nhất trên AppStore là 5.8, tuy nhiên ông cho hay lỗi này hiện vẫn đang tồn tại.
API chỉ kiểm tra xem tài khoản đó có còn tồn tại hay không, mà không kiểm tra việc tài khoản đang bị khóa. Do đó, người dùng có tài khoản bị khóa vẫn có thể truy cập PayPal và thực hiện giao dịch gửi tiền từ tài khoản.
Dưới đây video mô tả việc khai thác lỗi
[YOUTUBE]RXubXP_r2M4[/YOUTUBE]
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: