`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Исследователи обошли систему двухфакторной аутентификации PayPal

+11
голос
Исследователи обошли систему двухфакторной аутентификации PayPal

Платежная система PayPal была одним из первых сервисов, внедривших двухфакторную аутентификацию пользователей, но оказывается, а ней есть дыра, которая позволяет хакерам обойти второй уровень защиты.

Двухфакторная аутентификация (2FA) предотвращает возможность использовать краденные имена пользователей и пароли: после проверки этих данных система требует ввести случайно сгенерированный одноразовый код безопасности, который, в зависимости от реализации, создается токеном либо специальным мобильным приложением, или передается в сообщении на связанный с учетной записью номер телефона.

Как выяснили исследователи из компании Duo Security, второй этап аутентификации PayPal достаточно просто обойти с помощью мобильного приложения сервиса и API. Дело в том, что мобильное приложение PayPal для платформ iOS и Android не поддерживает 2FA, безопасность доступа пользователей в учетную запись обеспечивает функция Security Key, которой уже после проверки логина-пароля передается сообщение о том, что для учетной записи включена функция 2FA. В режиме Airplane Mode на iOS непосредственно после входа в PayPal, можно блокировать отправку на аппарат сигнала о наличии в учетной записи 2FA, и мобильное приложение не будет заблокировано. Если через несколько секунд отключить Airplane Mode, доступ к учетной записи PayPal будет предоставлен без второго этапа аутентификации.

Далее, специалисты исследовали каким образом мобильное приложение PayPal взаимодействует с API аутентификации и выяснили, что даже для учетных записей с включенной опцией 2FA сервис создает уникальный токен сессии непосредственно после верного ввода логина-пароля. Затем этот токен можно использовать другим API для мобильного клиента и с его помощью подтверждать самые разные действия, в том числе и перевод денег. Таким образом, информации о логине и пароле достаточно для того, чтобы полностью завладеть учетной записью PayPal невзирая на двухфакторную аутентификацию.

Исследователи уже сообщили PayPal о найденной уязвимости, но, судя по всему, онлайновая платежная система недооценивает ее потенциал, поскольку в ответ Duo Security получила лишь сообщение, что все учетные записи клиентов находятся в полной безопасности.

26 ноября — не пропустите Dell Technologies Forum EMEA!

+11
голос

Напечатать Отправить другу

Читайте также

 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT