算不算漏洞?PayPal帳號鎖定被繞過引發爭議
責編:admin |2014-10-22 15:16:41安全研究人員&白帽子Kunz Mejri近日發現了一個關于Paypal移動支付API的漏洞,攻擊者可以利用該漏洞繞過Paypal的防盜號鎖定設計。
利用移動支付API繞過帳號鎖定設計
PayPal的防盜號鎖定設計是這樣的:如果有人多次輸入不正確的密碼,其PayPal帳戶就會被暫時封鎖。要解封帳戶,用戶必須回答一系列的安全提問。
這一安全功能只在常規的Web應用程序中應用,但安全研究人員&白帽子Kunz Mejri發現:移動API不檢查賬戶是否被封,直接允許用戶再次登錄,
Benjamin Kunz Mejri是 漏洞實驗室(Vulnerability Lab)創始人,也是發現該問題的人,他于上周發表了這個漏洞。
“客戶端API只會檢查帳戶是否存在,而不會檢查賬戶是否被封鎖,這使得封鎖的用戶能夠訪問PayPal賬戶,并進行轉賬等交易,他可以送錢從帳戶中,iPhone / iPad的Paypal應用需要更新,以確保應用能夠驗證帳戶狀態,以防賬號盜用的事情發生。”
該漏洞已經過測試,在iOS的應用程序中得到驗證,但Kunz Mejri稱,Paypal Android版本的應用程序也受到影響。
漏洞確認引發分歧
這份安全漏洞報告早在2013年3月已提交給PayPal,在此之后PayPal應用程序幾度更新,但漏洞始終沒有被修復。Kunz Mejri說Paypal表示因最初沒能復現漏洞,否認存在問題。然而,當白帽子Kunz Mejri提供POC(proof-of-concept)視頻后,PayPal最終確認了該漏洞(這種廠商也算典型的不到黃河不死心……)。但PayPal公司表示不會為該漏洞支付報酬,因為PayPal認為這超出了他們的獎勵范圍。但Kunz Mejri堅持認為他應該有資格獲得漏洞獎金。
在SecurityWeek與PayPal取得聯系后,PayPal表示他們公司目前正在處理漏洞,之后也會獎勵報告安全問題的研究人員。Paypal在一份電子郵件聲明中說。
“通過Paypal的漏洞賞金計劃,白帽子幫助我們發現了使用PayPal的移動應用程序時繞過安全問題的方法。我們客戶的賬戶安全對我們很重要,我們正在努力解決這個問題,需要強調的是我們沒有任何證據表明這一漏洞影響了Paypal帳戶的安全性。”