Luka w uwierzytalnianiu PayPal

PayPal

Dwuskładnikowe uwierzytelnianie jest jednym ze sposobów na zabezpieczenie się przed kradzieżą hasła. Tego typu metoda stosowana jest obecnie przez popularny serwis społecznościowy Facebook, czy przez amerykańskiego giganta Google i jego pocztę Gmail. Usługa ta jest dostępna dla każdego, kto ją włączy. Znajdziemy ją także w usłudze Dropbox, która umożliwia nam przechowywanie plików w wirtualnej przestrzeni oraz w PayPalu, popularnej firmie z usługami płatniczymi.

Drugi składnik zabezpieczenia różni się w zależności od firmy świadczącej usługi. Amerykański PayPal posiada Security Key, który odpowiada za drugi składnik zabezpieczenia. Tym kluczem może być tutaj np. SMS z kodem, który należy przepisać w odpowiednie pole.

O problemie z wyżej wymienionym dwuskładnikowym uwierzytelnianiem w PayPal informuje serwis Niebezpiecznik.pl. Jak się okazuje, istnieje bardzo prostu sposób, aby takie zabezpieczenie ominąć. Do tego celu uruchamiamy mobilną aplikację PayPal, logujemy się i włączamy na chwilę w telefonie tryb samolotowy, po czym wyłączamy go. W ten sposób mamy dostęp do konta, które normalnie wymaga podania drugiego składnika zabezpieczenia (ów Security Key).

Tę lukę miał odkryć niejaki Dan Saltman, który o problemie zaraportował do samego zainteresowanego, czyli firmy PayPal. Niestety jego odkrycie przez 2 tygodnie pozostało bez odpowiedzi ze strony firmy, dlatego też postanowił działać na własną rękę i o fakcie poinformował serwis zajmujący się bezpieczeństwem w sieci, który doszedł do sedna problemu.

Okazało się, że problem leżał w mobilnym API. Logując się przez aplikację mobilną (która nie obsługuje dwuskładnikowego uwierzytelniania) serwer przekazuje informację o zablokowaniu konta, która z kolei przesyłana jest do aplikacji. Aplikacja z kolei blokuje ekran informacją, że wystąpił błąd, i że aplikacja mobilna nie wspiera Security Key. Luka leży w możliwości przechwycenia wiadomości wysyłanej do serwera i zamiany wartości „True” na „False”.

Jak informuje Niebezpiecznik.pl, podobny błąd wystąpił kiedyś w Google i Apple.

Tagi:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.