不被PayPal待見的6個(gè)安全漏洞

Cybernews分析人員稱，他們發(fā)現(xiàn)了和PayPal相關(guān)的6個(gè)高危漏洞，攻擊者利用這些漏洞可以實(shí)現(xiàn)：繞過PayPal登錄后的雙因素認(rèn)證（2FA）、使用其內(nèi)部智能聊天系統(tǒng)發(fā)送惡意代碼。然而就在上報(bào)了這些漏洞后，Cybernews遇到了無休止拖延、無人回應(yīng)、含糊響應(yīng)和不被重視的情形。以下是Cybernews就發(fā)現(xiàn)的6個(gè)漏洞進(jìn)行的說明，拋開是非對(duì)錯(cuò)，我們只來圍觀其技術(shù)姿勢就好。

漏洞1：登錄后的PayPal雙因素認(rèn)證（2FA）繞過

在對(duì)PayPal for Android(v.7.16.1)的安卓APP分析中，我們發(fā)現(xiàn)PayPal對(duì)用戶手機(jī)和郵箱的身份驗(yàn)證存在登錄后的2FA認(rèn)證漏洞。也就是說當(dāng)攻擊者以其它方式獲取了受害者的密碼憑據(jù)實(shí)施登錄后，由于PayPal判定攻擊者使用的手機(jī)設(shè)備或IP地址與之前受害者的不同，從而會(huì)發(fā)起一個(gè)2FA方式的身份驗(yàn)證，此時(shí)，PayPal會(huì)通過短信或郵箱發(fā)送一個(gè)驗(yàn)證碼給當(dāng)前登錄的攻擊者，只有正確輸入該驗(yàn)證碼，登錄才能繼續(xù)往下真正有效進(jìn)入受害者賬戶。

PayPal的2FA采用了Authflow方式，當(dāng)用戶從新手機(jī)、新位置或新IP地址執(zhí)行賬戶登錄時(shí)就會(huì)觸發(fā)2FA驗(yàn)證。在漏洞測試過程中，我們用抓包攔截代理（Charles）觀察PayPal APP的具體網(wǎng)絡(luò)活動(dòng)，經(jīng)過一番研究，我們發(fā)現(xiàn)了一個(gè)提權(quán)Token，可以用它來繞過上述登錄后的2FA認(rèn)證。（由于漏洞目前尚未修復(fù)，在此不作過多細(xì)節(jié)描述）

關(guān)于該漏洞我們的關(guān)注點(diǎn)是：目前黑市中存在大量PayPal用戶密碼憑據(jù)信息泄露，如果惡意攻擊者買下這些信息，然后配合上述我們發(fā)現(xiàn)的漏洞，就能輕松繞過PayPal登錄后的2FA認(rèn)證，進(jìn)入受害者賬戶，對(duì)廣大PayPal用戶的賬戶安全形成威脅。但是，PayPal卻不這么認(rèn)為，他們?cè)诨貜?fù)郵件中稱”這種形為不會(huì)導(dǎo)致任何安全問題“（there does not appear to be any security implications as a direct result of this behavior）。

漏洞2：未對(duì)手機(jī)驗(yàn)證方式實(shí)施動(dòng)態(tài)口令

我們分析發(fā)現(xiàn)，在PayPal新推出的一個(gè)應(yīng)用系統(tǒng)中，它會(huì)檢查注冊(cè)手機(jī)號(hào)碼是否為當(dāng)前用戶賬戶所持有，如果不是，則會(huì)拒絕進(jìn)一步的登錄。在該系統(tǒng)中，當(dāng)用戶用手機(jī)號(hào)碼進(jìn)行賬戶注冊(cè)時(shí)，會(huì)向PayPal后端服務(wù)器api-m.paypal.com執(zhí)行一個(gè)預(yù)錄式呼叫或短信請(qǐng)求以進(jìn)行用戶狀態(tài)確認(rèn)。這里存在的問題是，我們可以更改其中的預(yù)錄式呼叫確認(rèn)方式，實(shí)現(xiàn)對(duì)用戶注冊(cè)綁定手機(jī)號(hào)碼的更改。危害是由于可以不通過短信驗(yàn)證碼，很多騙子可以利用該漏洞，繞過電話身份驗(yàn)證，創(chuàng)建欺詐賬戶。

我們上報(bào)漏洞后，剛開始PayPal的安全團(tuán)隊(duì)還是比較重視的，但是經(jīng)過幾次溝通交流，他們干脆就不回復(fù)了?，F(xiàn)在的情況是，PayPal直接把該漏洞報(bào)告關(guān)閉了。

漏洞3：轉(zhuǎn)賬安全措施可繞過

為了避免欺詐和其它惡意行為，PayPal在應(yīng)用中內(nèi)置了很多保護(hù)用戶錢款的轉(zhuǎn)賬防護(hù)措施，來針對(duì)以下用戶錢款操作：

使用一個(gè)新的電子設(shè)備進(jìn)行登錄轉(zhuǎn)賬；

從一個(gè)新的地理位置或IP地址實(shí)行轉(zhuǎn)賬；

改變你通常的轉(zhuǎn)賬模式；

你當(dāng)前的轉(zhuǎn)賬賬戶剛注冊(cè)不久。

當(dāng)以上述一種或幾種行為發(fā)生時(shí)，PayPal在觸發(fā)轉(zhuǎn)賬防護(hù)措施過程中，會(huì)拋出一些錯(cuò)誤，其中包括：

你需要鏈接到其它新的支付方式實(shí)現(xiàn)轉(zhuǎn)賬（You’ll need to link a new payment method to send the money）

你的轉(zhuǎn)賬操作被拒絕，稍后請(qǐng)重新嘗試（Your payment was denied,please try again later）

我們分析發(fā)現(xiàn)，上述的轉(zhuǎn)賬錯(cuò)誤可以被枚舉，如果與漏洞1（登錄后的PayPal雙因素認(rèn)證（2FA）繞過）配合利用，就可以繞過轉(zhuǎn)賬安全防護(hù)措施，登錄一些受害者賬戶，實(shí)現(xiàn)錢款操作。而當(dāng)我們提交了該漏洞之后，PayPal卻聲稱，由于這需要與其它漏洞配合才能產(chǎn)生實(shí)際威脅，因此不屬眾測范圍之內(nèi)。

漏洞4：用戶賬戶命名可更改

默認(rèn)來說，針對(duì)用戶名更改，PayPal只允許用戶一次更改其中的1-2個(gè)字母，之后就不能再更改了。但是，我們發(fā)現(xiàn)，在當(dāng)前PayPal.com網(wǎng)站應(yīng)用中，我們可以更改完整的用戶名，比如下面的從“Tester IAmTester”更改為“christin christina”

我們通過攔截用戶名更改請(qǐng)求，每次替換其中的1-2個(gè)字母，可以無需任何驗(yàn)證就可實(shí)現(xiàn)完整的用戶名更改，甚至可以在用戶名字段中加入表情標(biāo)志等unicode符號(hào)。漏洞危害是，如果攻擊者可進(jìn)行任意的用戶名更改，那么會(huì)與，如果與漏洞1（登錄后的PayPal雙因素認(rèn)證（2FA）繞過）配合利用，可劫持其他重名PayPal。漏洞提交后，PayPal回應(yīng)稱該漏洞已有其他白帽上報(bào)過，屬于重復(fù)報(bào)。

漏洞5：自助聊天系統(tǒng)存儲(chǔ)型XSS漏洞

在PayPal的自助聊天系統(tǒng)SmartChat中，用戶可以找到一些通常問題的答案，我們研究發(fā)現(xiàn)SmartChat對(duì)用戶輸入缺乏驗(yàn)證，可以在聊天框中提交一些程序腳本，導(dǎo)致可以解析出程序按鈕或框架。

我們可以用中間人攻擊MITM代理對(duì)上述網(wǎng)絡(luò)流量進(jìn)行抓包攔截，在其中附加進(jìn)惡意構(gòu)造的Payload，深入攻擊可獲取受害者賬戶信息。PayPal對(duì)該漏洞的回應(yīng)是，這不是一個(gè)外部可利用的漏洞，所以不算安全問題，最后漏洞分類為“不適用”（Not Applicable）。

漏洞6：安全問題輸入中存在持久型XSS

該漏洞與漏洞5類似，原因在于PayPal未對(duì)安全問題的用戶輸入答案實(shí)施過濾，導(dǎo)致存在XSS，我們可以使用MITM代理對(duì)其抓包構(gòu)造，實(shí)現(xiàn)XSS觸發(fā)。下圖為我們向其中注入了大量可點(diǎn)擊的鏈接：

漏洞危害是，攻擊者可以在其中嵌入以下鏈接：

提示“Download the new PayPal app”的惡意APP下載鏈接；

更改轉(zhuǎn)賬收款人的郵箱地址；

對(duì)受害者進(jìn)行鍵盤記錄監(jiān)聽收集***信息。

PayPal對(duì)該漏洞的回應(yīng)稱已有其他安全人員提交過該漏洞，而就在同一天，PayPal對(duì)該漏洞進(jìn)行了修復(fù)。

Cybernews認(rèn)為的觀點(diǎn)

Cybernews闡述攻擊者的以下攻擊場景為：

在黑市買到包含PayPal賬戶密碼憑據(jù)的信息，；

使用漏洞1繞過PayPal的登錄后2FA認(rèn)證；

使用漏洞3繞過轉(zhuǎn)賬安全措施，可以從賬戶綁定的***實(shí)施轉(zhuǎn)賬

攻擊者還可以使用漏洞1繞過登錄后2FA認(rèn)證，再使用漏洞4更改其賬戶持有者的PayPal用戶名。

對(duì)于攻擊者和騙子來說，他們會(huì)有更多的動(dòng)機(jī)和方式來對(duì)這些漏洞進(jìn)行利用，然而但對(duì)PayPal本身來說，他們卻認(rèn)為這些都不是問題。

參考來源：cybernews