Обход двухфакторной аутентификации в PayPal


Duo SecurityИсследователи из Duo Security  обнаружили уязвимость, при помощи которой можно обойти двухфакторную аутентификацию в PayPal. Так же они утверждают, что брешь в системе Security Key существует уже несколько лет.

Уязвимыми являются мобильные приложения для iOS и Android, которые сообщают об ошибке при входе пользователя в учетную запись, где активирована двухфакторная аутентификация. Было установлено, что злоумышленники могут манипулировать ответом сервера и создать видимость того, что данная функция в целевой учетной записи отключена.

Уязвимость напрямую связана с ошибкой аутентификации в web-сервисе PayPal API (api.paypal.com), который используется в официальных мобильных приложениях PayPal и некоторых сторонних компаний.

Впервые данная уязвимость была обнаружена Дэном Солтманом (Dan Saltman) из EverydayCarry еще 29 марта 2014 года в рамках программы по выплате вознаграждений за найденные бреши. Тогда в компании проигнорировали данную уязвимость, а исследователь обратился в компанию Duo Security, которые и разработали концепт эксплоита. Эксперты разработали скрипт, использующий API для доступа к учетным записям в PayPal и перевода средств с любого компьютера.

В этот раз PayPal заявила о намерении выпустить исправление уязвимости 28 июня нынешнего года.


Обновлено (26.06.2014 14:17)