不被PayPal待见的6个安全漏洞

作者: 黑客网 分类: 正规黑客联系方式 发布时间: 2022-05-27 16:13

不被PayPal待见的6个安全漏洞

最近,Cybernews分析人员称,他们发现了和PayPal相关的6个高危漏洞,攻击者利用这些漏洞可以实现:绕过PayPal登录后的双因素认证(2FA)、使用其内部智能聊天系统发送恶意代码。然而就在上报了这些漏洞后,Cybernews遇到了无休止拖延、无人回应、含糊响应和不被重视的情形。以下是Cybernews就发现的6个漏洞进行的说明,抛开是非对错,我们只来围观其技术姿势就好。

漏洞1:登录后的PayPal双因素认证(2FA)绕过

在对 PayPal for Android (v. 7.16.1)的安卓APP分析中,我们发现PayPal对用户手机和邮箱的身份验证存在登录后的2FA认证漏洞。也就是说当攻击者以其它方式获取了受害者的密码凭据实施登录后,由于PayPal判定攻击者使用的手机设备或IP地址与之前受害者的不同,从而会发起一个2FA方式的身份验证,此时,PayPal会通过短信或邮箱发送一个验证码给当前登录的攻击者,只有正确输入该验证码,登录才能继续往下真正有效进入受害者账户。

不被PayPal待见的6个安全漏洞

PayPal的2FA采用了Authflow方式,当用户从新手机、新位置或新IP地址执行账户登录时就会触发2FA验证。在漏洞测试过程中,我们用抓包拦截代理(Charles)观察PayPal APP的具体网络活动,经过一番研究,我们发现了一个提权Token,可以用它来绕过上述登录后的2FA认证。(由于漏洞目前尚未修复,在此不作过多细节描述)

不被PayPal待见的6个安全漏洞

关于该漏洞我们的关注点是:目前黑市中存在大量PayPal用户密码凭据信息泄露,如果恶意攻击者买下这些信息,然后配合上述我们发现的漏洞,就能轻松绕过PayPal登录后的2FA认证,进入受害者账户,对广大PayPal用户的账户安全形成威胁。但是,PayPal却不这么认为,他们在回复邮件中称”这种形为不会导致任何安全问题“(there does not appear to be any security implications as a direct result of this behavior)。

不被PayPal待见的6个安全漏洞

漏洞2:未对手机验证方式实施动态口令

我们分析发现,在PayPal新推出的一个应用系统中,它会检查注册手机号码是否为当前用户账户所持有,如果不是,则会拒绝进一步的登录。在该系统中,当用户用手机号码进行账户注册时,会向PayPal后端服务器api-m.paypal.com执行一个预录式呼叫或短信请求以进行用户状态确认。这里存在的问题是,我们可以更改其中的预录式呼叫确认方式,实现对用户注册绑定手机号码的更改。危害是由于可以不通过短信验证码,很多骗子可以利用该漏洞,绕过电话身份验证,创建欺诈账户。

不被PayPal待见的6个安全漏洞

我们上报漏洞后,刚开始PayPal的安全团队还是比较重视的,但是经过几次沟通交流,他们干脆就不回复了。现在的情况是,PayPal直接把该漏洞报告关闭了。

不被PayPal待见的6个安全漏洞

漏洞3:转账安全措施可绕过

为了避免欺诈和其它恶意行为,PayPal在应用中内置了很多保护用户钱款的转账防护措施,来针对以下用户钱款操作:

使用一个新的电子设备进行登录转账;

从一个新的地理位置或IP地址实行转账;

改变你通常的转账模式;

你当前的转账账户刚注册不久。

当以上述一种或几种行为发生时,PayPal在触发转账防护措施过程中,会抛出一些错误,其中包括:

你需要链接到其它新的支付方式实现转账(You’ll need to link a new payment method to send the money)

你的转账操作被拒绝,稍后请重新尝试(Your payment was denied, please try again later)

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

标签云