Una falla en el proceso de filtrado de restricciones de la cuenta a través de la API de móvil hace cuentas accesibles bloqueado sin ningún detalle de seguridad adicionales solicitados.
La técnica de seguridad típico para estos casos es bloquear la cuenta y exigir una respuesta a una o varias preguntas de seguridad si una combinación de nombre de usuario-contraseña incorrecta se ha introducido varias veces.
Pero, en este caso, si el usuario cambia a un dispositivo móvil y proporciona los datos correctos, el problema se elimina.
Accediendo Bloqueado PayPal Cuentas desde un dispositivo iOS
Hay otras razones para una cuenta para bloqueados, por ejemplo, para evitar que los delincuentes tengan acceso a los fondos ilícitamente obtenidos.
El descubrimiento de la falla fue hecha por Benjamin Kunz Mejri del Laboratorio de Vulnerabilidad y fue inmediatamente a PayPal. La vulnerabilidad fue reportada dentro de la campaña Bounty Bug marzo 2013 y no se ha fijado hasta el momento.
Tél Vulnerabilidad
La falla fue descubierta en la aplicación móvil de iOS para iPad y iPhone. Ambos productos no comprueban las banderas de restricción que bloquearían el acceso a la cuenta. La versión afectada de la aplicación iOS es 4.6.0. Según se informa la falla sigue activa en la última versión 5.8.
Según el informe de fallo, la API no comprueba el bloqueo parcial o una relación completa. Lo único comprobado por la API es si existe la cuenta o no. El usuario bloqueado puede acceder realmente a su cuenta PayPal y realizar transacciones.
The Glitch demostrada en un vídeo
El descubrimiento de la falla ha sido apoyado con un video, demostrando cómo funciona la vulnerabilidad. La película muestra a una persona que entra falsas credenciales varias veces lo que la cuenta podría bloquearse. A medida que se solicita para proporcionar la respuesta a la pregunta de seguridad, el usuario cambia de un dispositivo iOS y proporciona los datos de la cuenta correctos y por lo tanto obtiene acceso a la cuenta bloqueada.
El informe de fallo establece que la vulnerabilidad de la seguridad tiene una puntuación base CVSS de 6.2, pero no ha habido ningún identificador asignado a ella.
