+11 голос |
Платежная система PayPal была одним из первых сервисов, внедривших двухфакторную аутентификацию пользователей, но оказывается, а ней есть дыра, которая позволяет хакерам обойти второй уровень защиты.
Двухфакторная аутентификация (2FA) предотвращает возможность использовать краденные имена пользователей и пароли: после проверки этих данных система требует ввести случайно сгенерированный одноразовый код безопасности, который, в зависимости от реализации, создается токеном либо специальным мобильным приложением, или передается в сообщении на связанный с учетной записью номер телефона.
Как выяснили исследователи из компании Duo Security, второй этап аутентификации PayPal достаточно просто обойти с помощью мобильного приложения сервиса и API. Дело в том, что мобильное приложение PayPal для платформ iOS и Android не поддерживает 2FA, безопасность доступа пользователей в учетную запись обеспечивает функция Security Key, которой уже после проверки логина-пароля передается сообщение о том, что для учетной записи включена функция 2FA. В режиме Airplane Mode на iOS непосредственно после входа в PayPal, можно блокировать отправку на аппарат сигнала о наличии в учетной записи 2FA, и мобильное приложение не будет заблокировано. Если через несколько секунд отключить Airplane Mode, доступ к учетной записи PayPal будет предоставлен без второго этапа аутентификации.
Далее, специалисты исследовали каким образом мобильное приложение PayPal взаимодействует с API аутентификации и выяснили, что даже для учетных записей с включенной опцией 2FA сервис создает уникальный токен сессии непосредственно после верного ввода логина-пароля. Затем этот токен можно использовать другим API для мобильного клиента и с его помощью подтверждать самые разные действия, в том числе и перевод денег. Таким образом, информации о логине и пароле достаточно для того, чтобы полностью завладеть учетной записью PayPal невзирая на двухфакторную аутентификацию.
Исследователи уже сообщили PayPal о найденной уязвимости, но, судя по всему, онлайновая платежная система недооценивает ее потенциал, поскольку в ответ Duo Security получила лишь сообщение, что все учетные записи клиентов находятся в полной безопасности.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+11 голос |