En fejl i filtrering af kontobegrænsninger via mobile API gør blokeret konti tilgængelige uden yderligere sikkerhedsforanstaltninger ønskede oplysninger.
Den typiske sikkerhed teknik til sådanne tilfælde, er at spærre kontoen og kræver et svar til en eller mange sikkerhedsmæssige spørgsmål, hvis et forkert brugernavn-adgangskode kombination er indtastet flere gange.
Men, i dette tilfælde, hvis brugeren skifter til en mobil enhed, og giver de korrekte oplysninger, problemet er elimineret.
Adgang Blokeret PayPal-konti fra en iOS-enhed
Der er andre grunde til en konto for at få blokeret, for eksempel, at forhindre svindlere i at få adgang ulovligt opnåede midler.
Opdagelsen af fejl blev foretaget af Benjamin Kunz Mejri fra Sårbarhed Laboratory og blev straks indberettet til PayPal. Sårbarheden blev rapporteret i Bug Bounty kampagne marts 2013 og er ikke fastsat hidtil.
Than Sårbarhed
Fejlen blev opdaget i iOS mobile applikation til iPad og iPhone. Begge produkter ikke tjekke for restriktions flag, der ville blokere adgang til kontoen. Den sygdomsramte version af iOS ansøgning er 4.6.0. Angiveligt fejlen stadig er aktiv i den seneste version 5.8.
Ifølge fejl rapport, API kontrollerer ikke en delvis eller en fuld kontoblokering. Det eneste, kontrolleres af API er, hvis der findes kontoen eller ej. Den blokerede bruger kan faktisk få adgang til sin PayPal-konto og foretage transaktioner.
Glitch demonstreret i en video
Opdagelsen af fejl er blevet støttet med en video, demonstrerer, hvordan sårbarhed værker. Optagelserne viser en person ind falske legitimationsoplysninger flere gange, så den konto ville blive blokeret. Da han bliver bedt om at give svaret på sikkerhedsspørgsmålet, brugeren skifter til en iOS-enhed og giver de korrekte kontooplysninger, og dermed får adgang til den spærrede konto.
Fejlen rapport hedder det, at sikkerhedsbrist har en CVSS basis score på 6.2, men der har ikke været nogen identifikator tildelt det.