安全研究人员&白帽子Kunz Mejri近日发现了一个关于Paypal移动支付API的漏洞,攻击者可以利用该漏洞绕过Paypal的防盗号锁定设计。
利用移动支付API绕过帐号锁定设计 PayPal的防盗号锁定设计是这样的:如果有人多次输入不正确的密码,其PayPal帐户就会被暂时封锁。要解封帐户,用户必须回答一系列的安全提问。
这一安全功能只在常规的Web应用程序中应用,但安全研究人员&白帽子Kunz Mejri发现:移动API不检查账户是否被封,直接允许用户再次登录,
Benjamin Kunz Mejri是 漏洞实验室(Vulnerability Lab)创始人,也是发现该问题的人,他于上周发表了这个漏洞。
“客户端API只会检查帐户是否存在,而不会检查账户是否被封锁,这使得封锁的用户能够访问PayPal账户,并进行转账等交易,他可以从帐户中搞钱,iPhone / iPad的PayPal应用需要更新,以确保应用能够验证帐户状态,以防账号盗用的事情发生。”
该漏洞已经过测试,在iOS的应用程序中得到验证,Kunz Mejri还称,Paypal Android版本的应用程序也受到影响。
漏洞确认引发分歧 这份安全漏洞报告早在2013年3月已提交给PayPal,在此之后PayPal应用程序几度更新,但漏洞始终没有被修复。Kunz Mejri说Paypal表示因最初没能复现漏洞,否认存在问题。然而,当白帽子Kunz Mejri提供POC(proof-of-concept)视频后,PayPal最终确认了该漏洞。但PayPal公司表示不会为该漏洞支付报酬,因为PayPal认为这超出了他们的奖励范围。但Kunz Mejri坚持认为他应该有资格获得漏洞奖金。
在SecurityWeek与PayPal取得联系后,PayPal表示他们公司目前正在处理漏洞,之后也会奖励报告安全问题的研究人员。Paypal在一份电子邮件声明中说。
“通过PayPal的漏洞赏金计划,白帽子帮助我们发现了使用PayPal的移动应用程序时绕过安全问题的方法。我们客户的账户安全对我们很重要,我们正在努力解决这个问题,需要强调的是我们没有任何证据表明这一漏洞影响了Paypal帐户的安全性。”
死不承认的态度真的好吗...
| 
|小黑屋|云伴侣
( 粤ICP备14022677号-1 )|
亚丁云旗下站点
发表于 2014-10-23 22:50:03