Компания PayPal не желает исправлять серьезную уязвимость в своем мобильном приложении для iOS и Android
В приложении известного платежного сервиса PayPal найдена критическая ошибка, которая позволяет легко обойти двухфакторную защитную модель аутентификации. Компания не посчитала эту уязвимость важной, поэтому решила ее не исправлять. Однако, многие специалисты с этой позицией не согласны, ведь брешь помогает злоумышленникам взломать аккаунт пользователя и воспользоваться его средствами на счете.
Бенджамин Кунц, руководитель компании Vulnerability Lad, заявил, что найденная уязвимость позволяет обойти модель защиты аккаунта PayPal и получить доступ даже к заблокированной учетной записи. Как уже привычно слышать, уязвимость найдена в мобильных версиях для платформ Android и iOS.
Платежный сервис PayPal в некоторых случаях может запрашивать у пользователя подтверждение личности и блокировать его аккаунт с целью предотвращения мошеннических действий. Для разблокировки учетной записи нужно отправлять электронное письмо на ящик компании PayPal или же позвонить по телефону в службу поддержки. Найденная уязвимость дает возможность мошенникам совершать несколько попыток авторизации, тем самым получая доступ к аккаунту.
Как заявил Бенджамин Кунц, его компания провела опыт, в ходе которого совершались множественные попытки запроса формы разблокировки с существующей записи. Благодаря этому, им удалось обойти проверку личности владельца аккаунта. API использует информацию с сайта, и пользователь включает собственный аккаунт в процесс идентификации через движок браузера. Таким образом, можно получить доступ к мобильной версии PayPal для iOS и Android через существующие cookie-файлы.
Стоит отметить, что указанный метод позволяет обойти процесс проверки личности и двухфакторную аутентификацию PayPal. Как только мошенники получают доступ, они могут поменять пароль и данные пользователя.
По состоянию на начало 9 сентября 2015 года, эта ошибка не исправлена со стороны платежной системы PayPal, поскольку компании не желает признавать ее важности.
Рекомендуем по теме:
Платежный сервис «Киберплат» перестал обслуживать клиентов после аннулирования лицензии «Платины»
Британским пользователям PayPal стала доступна возможность торговли криптовалютой
Власти США потребовали от Facebook отказаться от разработки детской версии Instagram
IKEA начнет работать на рынке аксессуаров для геймеров
Apple интегрировала в новые смарт-часы украденную клавиатуру
Интернет-ритейлеры пытаются добиться от правительства отмены предустановки приложений
MasterCard снизит комиссии для предпринимателей, принимающих платежи посредством смартфона
iOS-приложения продолжают собирать пользовательские данные в обход установленного Apple запрета
Власти КНР запретили любые криптовалютные транзакции