Un difetto nel processo di filtraggio delle restrizioni di account tramite l'API cellulare rende bloccato gli account accessibili senza dettagli aggiuntivi di sicurezza richiesti.
La tecnica di sicurezza tipico di questi casi è quello di bloccare il conto e richiedono una risposta a una o più domande di sicurezza se una combinazione nome utente-password errata è stata inserita più volte.
Ma, in questo caso, se l'utente passa a un dispositivo mobile e fornisce i dati corretti, il problema è eliminato.
Accesso alla Bloccato conti PayPal da un dispositivo iOS
Ci sono altre ragioni per un account per bloccati, per esempio, per evitare truffatori di accedere a fondi illecitamente ottenuti.
La scoperta del difetto è stata fatta da Benjamin Kunz Mejri dal Laboratorio di vulnerabilità ed è stato immediatamente segnalato a PayPal. La vulnerabilità è stata segnalata all'interno della campagna Bug Bounty marzo 2013 e non è stato fissato finora.
Tegli vulnerabilità
Il difetto è stato scoperto nella applicazione mobile iOS per iPad e iPhone. Entrambi i prodotti non controllano per le bandiere di restrizione che potrebbero bloccare l'accesso all'account. La versione interessata dell'applicazione iOS è 4.6.0. Secondo quanto riferito il difetto è ancora attivo nella sua ultima versione 5.8.
Secondo il rapporto difetto, l'API non verifica una parziale o un resoconto completo di blocco. L'unica cosa controllato dalle API è che se l'account esiste o non. L'utente bloccato può effettivamente accedere al suo conto PayPal ed effettuare transazioni.
Il Glitch dimostrato in un video
La scoperta del difetto è stata sostenuta con un video, dimostrando come funziona la vulnerabilità. Il filmato mostra una persona che entra falsi credenziali più volte in modo che il conto sarebbe ottenere bloccato. Mentre si chiede di fornire la risposta alla domanda di sicurezza, l'utente passa a un dispositivo iOS e fornisce la corretta dettagli del conto e guadagna così l'accesso al conto bloccato.
Il rapporto difetto afferma che la vulnerabilità di sicurezza ha un punteggio di base di CVSS 6.2, ma vi è stato alcun identificatore assegnato.
