Luka w uwierzytalnianiu PayPal
Dwuskładnikowe uwierzytelnianie jest jednym ze sposobów na zabezpieczenie się przed kradzieżą hasła. Tego typu metoda stosowana jest obecnie przez popularny serwis społecznościowy Facebook, czy przez amerykańskiego giganta Google i jego pocztę Gmail. Usługa ta jest dostępna dla każdego, kto ją włączy. Znajdziemy ją także w usłudze Dropbox, która umożliwia nam przechowywanie plików w wirtualnej przestrzeni oraz w PayPalu, popularnej firmie z usługami płatniczymi.
Drugi składnik zabezpieczenia różni się w zależności od firmy świadczącej usługi. Amerykański PayPal posiada Security Key, który odpowiada za drugi składnik zabezpieczenia. Tym kluczem może być tutaj np. SMS z kodem, który należy przepisać w odpowiednie pole.
O problemie z wyżej wymienionym dwuskładnikowym uwierzytelnianiem w PayPal informuje serwis Niebezpiecznik.pl. Jak się okazuje, istnieje bardzo prostu sposób, aby takie zabezpieczenie ominąć. Do tego celu uruchamiamy mobilną aplikację PayPal, logujemy się i włączamy na chwilę w telefonie tryb samolotowy, po czym wyłączamy go. W ten sposób mamy dostęp do konta, które normalnie wymaga podania drugiego składnika zabezpieczenia (ów Security Key).
Tę lukę miał odkryć niejaki Dan Saltman, który o problemie zaraportował do samego zainteresowanego, czyli firmy PayPal. Niestety jego odkrycie przez 2 tygodnie pozostało bez odpowiedzi ze strony firmy, dlatego też postanowił działać na własną rękę i o fakcie poinformował serwis zajmujący się bezpieczeństwem w sieci, który doszedł do sedna problemu.
Okazało się, że problem leżał w mobilnym API. Logując się przez aplikację mobilną (która nie obsługuje dwuskładnikowego uwierzytelniania) serwer przekazuje informację o zablokowaniu konta, która z kolei przesyłana jest do aplikacji. Aplikacja z kolei blokuje ekran informacją, że wystąpił błąd, i że aplikacja mobilna nie wspiera Security Key. Luka leży w możliwości przechwycenia wiadomości wysyłanej do serwera i zamiany wartości „True” na „False”.
Jak informuje Niebezpiecznik.pl, podobny błąd wystąpił kiedyś w Google i Apple.
Tagi: PayPal