Исследователи компании Vulnerability Lab, специализирующейся на решениях в сфере ИБ, еще в апреле текущего года обнаружили в веб-приложениях платежного сервиса PayPal для платформ iOS и Android три различные уязвимости. И сразу же конфиденциально проинформировали об этом службу безопасности компании PayPal. Однако до сих пор, как отметил в своем публичном выступлении основатель и глава Vulnerability Lab Бенджамин Кунц Межри, наиболее критичная из трех обнаруженных уязвимостей не ликвидировна. А ведь эта брешь позволяет обходить 2-факторную аутентификацию и получать доступ к аккаунту, в том числе и заблокированному. Для такой операции вполне достаточно применить несложную технику множественного запроса авторизации.
В частности, эксперт пояснил: «Осуществляя множественные попытки запросить форму с помощью реально существующей учетной записи (x01445@gmail.com:chaos666), мы смогли обойти проверку подлинности личности ее владельца. API загружает контекст сайта, и пользователь может включить в процесс идентификации с помощью движка браузера собственный пользовательский аккаунт. Даже если учетная запись заблокирована, пользователь может получить доступ через мобильный API с уже существующими файлами cookie». При этом Межри добавил, что такая техника позволяет атакующим, помимо всего прочего, получать доступ к настройкам учетной записи и права для изменения пароля.
Как подчеркнул Межри, PayPal почему-то не спешит исправить брешь. Как полагает эксперт, такую угрозу в платежном веб-бизнесе считают некритичной. Чтобы продемонстрировать ошибочность такой оценки, он выложил в сеть видео демонстрацией сценария эксплуатации данной уязвимости и вытекающих из этого проблем. К слову сказать, еще два бага, о которых компания Vulnerability Lab информировала PayPal в апреле, наконец-то в конце августа удосужились исправить с помощью выпушенных патчей для блокировки открытого редиректа и межсайтового скриптинга в веб-приложении для работы с онлайн-службой платежного сервиса.
Ранее эксперты другой ИБ-компании, Bitdefender, уже сообщали, что в ходе исследований веб-платформы PayPal ими были выявлены XSS-уязвимости, позволяющие злоумышленникам осуществлять внедрение вредоносного ПО для атак на зарегистрированных пользователей платежной веб-системы. Также, как и Vulnerability Lab, компания Bitdefender проинформировала коллег из ИБ-службы PayPal о найденных киберугрозах, а для большей убедительности даже предоставила в качестве приложения возможный сценарий атаки — с применением XML-файла в формате HTML, а также загрузки вредоноса через XSS-уязвимость. Однако и при ликвидации этой весьма серьезной киберугрозы оперативности не наблюдалось, что, по мнению независимых ИБ-аналитиков, недопустимо, так как клиенты сервиса подвергались неоправданно продолжительное время киберрискам.
.png)