Een fout in het filterproces van de rekening van de beperkingen via de mobiele API maakt geblokkeerde rekeningen toegankelijk zonder extra beveiliging gegevens opgevraagd.
De typische security techniek voor dergelijke gevallen is om de rekening te blokkeren en een antwoord op een of meerdere security vragen vereisen indien een onjuiste gebruikersnaam-wachtwoord combinatie is meerdere keren is ingevoerd.
Maar, in dit geval, Als de gebruiker overschakelt op een mobiel apparaat en biedt de juiste gegevens, het probleem is opgeheven.
Toegang tot geblokkeerde PayPal-rekeningen van een iOS-apparaat
Er zijn nog andere redenen om een account te krijgen geblokkeerd, bijvoorbeeld, om boeven te voorkomen dat de toegang tot illegaal verkregen fondsen.
De ontdekking van de fout werd gemaakt door Benjamin Kunz Mejri uit Laboratory Kwetsbaarheid en werd onmiddellijk gemeld aan PayPal. De kwetsbaarheid werd gemeld binnen de Bug Bounty campagne maart 2013 en is nog niet zo ver vast.
Thij Kwetsbaarheid
De fout werd ontdekt in de mobiele applicatie iOS voor iPad en iPhone. Beide producten niet controleren voor beperking vlaggen die de toegang tot de rekening zou blokkeren. De getroffen versie van de iOS applicatie is 4.6.0. Naar verluidt de fout is nog steeds actief in de nieuwste versie 5.8.
Volgens het fout rapport, de API controleert niet een gedeeltelijke of een volledige rekening te blokkeren. Het enige wat gecontroleerd door de API is als de account bestaat of niet. De geblokkeerde gebruiker kan eigenlijk toegang tot zijn PayPal-account en maak transacties.
De Glitch aangetoond in een video
De ontdekking van het lek is ondersteund met een video, laten zien hoe de kwetsbaarheid werkt. De beelden tonen een persoon die valse referenties meerdere malen zodat de rekening zou verstopt raken. Als hij wordt gevraagd om het antwoord op de geheime vraag te voorzien, de gebruiker overschakelt op een iOS-apparaat en biedt de juiste account details en krijgt daarmee toegang tot de geblokkeerde rekening.
De fout rapport stelt dat het beveiligingsprobleem heeft een CVSS base score van 6.2, maar er is geen identifier toegewezen geweest.
