Une faille dans le processus de filtrage des restrictions de compte via l'API mobile permet comptes accessibles bloqué sans aucun détail de sécurité supplémentaires demandées.
La technique typique de la sécurité dans de tels cas est de bloquer le compte et d'exiger une réponse à une ou plusieurs questions de sécurité si une combinaison nom d'utilisateur-mot de passe incorrect a été saisi à plusieurs reprises.
Mais, dans ce cas, si l'utilisateur passe à un appareil mobile et fournit les informations correctes, le problème est éliminé.
Accédant à des comptes bloqués PayPal à partir d'un appareil iOS
Il ya d'autres raisons pour un compte pour bloqués, par exemple, pour empêcher les escrocs d'accéder à des fonds obtenus illégalement.
La découverte de la faille a été faite par Benjamin Kunz Mejri de laboratoire de la vulnérabilité et a été immédiatement signalé à PayPal. La vulnérabilité a été rapportée dans la campagne Bug Bounty in Mars 2013 et n'a pas été fixée à ce jour.
Til vulnérabilité
La faille a été découverte dans l'application mobile iOS pour iPad et iPhone. Les deux produits ne vérifient pas pour les drapeaux de restriction qui pourraient bloquer l'accès au compte. La version affectée de l'application iOS est 4.6.0. Aurait le défaut est toujours actif dans la dernière version 5.8.
Selon le rapport de défaut, l'API ne vérifie pas le blocage partiel ou un compte rendu complet. La seule chose vérifiée par l'API est si le compte existe ou non. L'utilisateur bloqué ne peut effectivement accéder à son compte PayPal et effectuer des transactions.
The Glitch manifestes dans une vidéo
La découverte de la faille a été soutenue avec une vidéo, démontrer le fonctionnement de la vulnérabilité. Le film montre une personne d'entrer de fausses références à plusieurs reprises pour le compte serait se bloquer. Comme il est demandé de fournir la réponse à la question de sécurité, l'utilisateur passe à un appareil iOS et fournit les détails du compte correctes et gagne ainsi l'accès au compte bloqué.
Le rapport de défaut indique que la faille de sécurité a un score de base CVSS de 6.2, mais il n'y a aucun identificateur assigné.
