モバイルAPIを介したアカウント制限のフィルタリングプロセスの欠陥により、追加のセキュリティ詳細を要求しなくても、ブロックされたアカウントにアクセスできるようになります.
このような場合の一般的なセキュリティ手法は、アカウントをブロックし、誤ったユーザー名とパスワードの組み合わせが数回入力された場合に1つまたは複数のセキュリティの質問への回答を要求することです。.
しかし, この場合, ユーザーがモバイルデバイスに切り替えて正しい詳細を提供した場合, 問題は解消されます.
iOSデバイスからブロックされたPayPalアカウントにアクセスする
アカウントがブロックされる理由は他にもあります, 例えば, 詐欺師が不正に取得した資金にアクセスするのを防ぐため.
欠陥の発見は、脆弱性研究所のベンジャミン・クンツ・メジリによって行われ、すぐにPayPalに報告されました. この脆弱性は、3月のバグバウンティキャンペーンで報告されました 2013 今のところ修正されていません.
T脆弱性
この欠陥は、iPadおよびiPhone用のiOSモバイルアプリケーションで発見されました. どちらの製品も、アカウントへのアクセスをブロックする制限フラグをチェックしません. 影響を受けるiOSアプリケーションのバージョンは 4.6.0. 伝えられるところによると、欠陥は最新バージョンでもまだアクティブです 5.8.
欠陥報告によると, APIは、アカウントのブロックの一部または全部をチェックしません. APIによってチェックされるのは、アカウントが存在するかどうかだけです。. ブロックされたユーザーは実際に自分のPayPalアカウントにアクセスして取引を行うことができます.
ビデオで示されるグリッチ
欠陥の発見はビデオでサポートされています, 脆弱性がどのように機能するかを示す. この映像は、アカウントがブロックされるように、人が誤ったクレデンシャルを数回入力していることを示しています. 彼はセキュリティの質問への答えを提供するように求められているので, ユーザーがiOSデバイスに切り替えて、正しいアカウントの詳細を提供することで、ブロックされたアカウントにアクセスできるようになります.
欠陥レポートによると、セキュリティの脆弱性のCVSSベーススコアは 6.2, しかし、それに割り当てられた識別子はありません.
