Uma falha no processo de filtragem de restrições de conta por meio da API móvel torna as contas bloqueadas acessíveis sem a solicitação de detalhes de segurança adicionais.
A técnica de segurança típica para esses casos é bloquear a conta e exigir uma resposta a uma ou várias perguntas de segurança se uma combinação incorreta de nome de usuário e senha for inserida várias vezes.
Mas, nesse caso, se o usuário mudar para um dispositivo móvel e fornecer os detalhes corretos, o problema é eliminado.
Acessando contas bloqueadas do PayPal a partir de um dispositivo iOS
Existem outros motivos para uma conta ser bloqueada, por exemplo, para evitar que bandidos acessem fundos obtidos ilicitamente.
A descoberta da falha foi feita por Benjamin Kunz Mejri do Vulnerability Laboratory e foi imediatamente reportada ao PayPal. A vulnerabilidade foi relatada na campanha Bug Bounty em março 2013 e não foi corrigido até agora.
TEle Vulnerabilidade
A falha foi descoberta no aplicativo móvel iOS para iPad e iPhone. Ambos os produtos não verificam sinalizadores de restrição que bloqueariam o acesso à conta. A versão afetada do aplicativo iOS é 4.6.0. Alegadamente, a falha ainda está ativa na versão mais recente 5.8.
De acordo com o relatório de falhas, a API não verifica um bloqueio parcial ou total da conta. A única coisa verificada pela API é se a conta existe ou não. O usuário bloqueado pode realmente acessar sua conta do PayPal e fazer transações.
A falha demonstrada em um vídeo
A descoberta da falha foi apoiada com um vídeo, demonstrando como a vulnerabilidade funciona. A filmagem mostra uma pessoa inserindo credenciais falsas várias vezes para que a conta seja bloqueada. Como ele está sendo solicitado a fornecer a resposta à pergunta de segurança, o usuário muda para um dispositivo iOS e fornece os detalhes corretos da conta e, assim, obtém acesso à conta bloqueada.
O relatório de falha afirma que a vulnerabilidade de segurança tem uma pontuação base CVSS de 6.2, mas não houve nenhum identificador atribuído a ele.
