El investigador de seguridad, Benjamin Kunz Mejri, publicó el
descubrimiento de una falla en el procedimiento de autenticación de la
API de PayPal para iOS, permitiendo que un usuario acceda a una cuenta
anteriormente bloqueada.
Cuando un usuario trata de entrar a una cuenta con el password
equivocado, la cuenta se bloquea temporalmente después de cierto número
de intentos para evitar ataques de fuerza bruta. A pesar de este
bloqueo, si el usuario ingresa el usuario y contraseña correctos desde
la aplicación para iOS, se le otorgará el acceso sin verificar la
suspensión. Esto lo demuestra Kunz Mejri en su video.
Si bien este primer ejemplo pareciera no tener importancia alguna, cabe
mencionar que PayPal también puede bloquear cuentas por actividades
sospechosas para evitar que un estafador tenga acceso a dinero obtenido
de manera ilegal. En este caso, el estafador podría entrar a su cuenta a
través de la app para iOS y sacar su dinero sin importar el bloqueo.
Kunz Mejri descubrió la falla hace un año y la notificó a PayPal, pero al no recibir respuesta alguna y ver que el problema no había sido solucionado, decidió publicarla. El investigador comenta que las versiones afectadas de la aplicación para iOS son la 4.6.0 y la más reciente, 5.8.
Fuente: FayerWayer
Kunz Mejri descubrió la falla hace un año y la notificó a PayPal, pero al no recibir respuesta alguna y ver que el problema no había sido solucionado, decidió publicarla. El investigador comenta que las versiones afectadas de la aplicación para iOS son la 4.6.0 y la más reciente, 5.8.
Fuente: FayerWayer
0 comentarios:
Publicar un comentario