Cybernews分析人員稱,他們發(fā)現(xiàn)了和PayPal相關(guān)的6個高危漏洞�����,攻擊者利用這些漏洞可以實現(xiàn):繞過PayPal登錄后的雙因素認證(2FA)��、使用其內(nèi)部智能聊天系統(tǒng)發(fā)送惡意代碼��。
Cybernews分析人員稱����,他們發(fā)現(xiàn)了和PayPal相關(guān)的6個高危漏洞,攻擊者利用這些漏洞可以實現(xiàn):繞過PayPal登錄后的雙因素認證(2FA)���、使用其內(nèi)部智能聊天系統(tǒng)發(fā)送惡意代碼���。然而就在上報了這些漏洞后,Cybernews遇到了無休止拖延�����、無人回應、含糊響應和不被重視的情形����。以下是Cybernews就發(fā)現(xiàn)的6個漏洞進行的說明,拋開是非對錯�����,我們只來圍觀其技術(shù)姿勢就好�。
漏洞1:登錄后的PayPal雙因素認證(2FA)繞過
在對PayPal for Android(v.7.16.1)的安卓APP分析中,我們發(fā)現(xiàn)PayPal對用戶手機和郵箱的身份驗證存在登錄后的2FA認證漏洞�。也就是說當攻擊者以其它方式獲取了受害者的密碼憑據(jù)實施登錄后,由于PayPal判定攻擊者使用的手機設備或IP地址與之前受害者的不同�,從而會發(fā)起一個2FA方式的身份驗證,此時����,PayPal會通過短信或郵箱發(fā)送一個驗證碼給當前登錄的攻擊者,只有正確輸入該驗證碼����,登錄才能繼續(xù)往下真正有效進入受害者賬戶。
PayPal的2FA采用了Authflow方式�,當用戶從新手機、新位置或新IP地址執(zhí)行賬戶登錄時就會觸發(fā)2FA驗證����。在漏洞測試過程中,我們用抓包攔截代理(Charles)觀察PayPal APP的具體網(wǎng)絡活動���,經(jīng)過一番研究����,我們發(fā)現(xiàn)了一個提權(quán)Token����,可以用它來繞過上述登錄后的2FA認證。(由于漏洞目前尚未修復�����,在此不作過多細節(jié)描述)
關(guān)于該漏洞我們的關(guān)注點是:目前黑市中存在大量PayPal用戶密碼憑據(jù)信息泄露����,如果惡意攻擊者買下這些信息,然后配合上述我們發(fā)現(xiàn)的漏洞���,就能輕松繞過PayPal登錄后的2FA認證�,進入受害者賬戶����,對廣大PayPal用戶的賬戶安全形成威脅�����。但是���,PayPal卻不這么認為,他們在回復郵件中稱”這種形為不會導致任何安全問題“(there does not appear to be any security implications as a direct result of this behavior)��。
漏洞2:未對手機驗證方式實施動態(tài)口令
我們分析發(fā)現(xiàn)�,在PayPal新推出的一個應用系統(tǒng)中,它會檢查注冊手機號碼是否為當前用戶賬戶所持有�,如果不是,則會拒絕進一步的登錄����。在該系統(tǒng)中,當用戶用手機號碼進行賬戶注冊時��,會向PayPal后端服務器api-m.paypal.com執(zhí)行一個預錄式呼叫或短信請求以進行用戶狀態(tài)確認����。這里存在的問題是,我們可以更改其中的預錄式呼叫確認方式����,實現(xiàn)對用戶注冊綁定手機號碼的更改�。危害是由于可以不通過短信驗證碼���,很多騙子可以利用該漏洞,繞過電話身份驗證���,創(chuàng)建欺詐賬戶���。
我們上報漏洞后,剛開始PayPal的安全團隊還是比較重視的��,但是經(jīng)過幾次溝通交流��,他們干脆就不回復了?�,F(xiàn)在的情況是�,PayPal直接把該漏洞報告關(guān)閉了。
漏洞3:轉(zhuǎn)賬安全措施可繞過
為了避免欺詐和其它惡意行為����,PayPal在應用中內(nèi)置了很多保護用戶錢款的轉(zhuǎn)賬防護措施,來針對以下用戶錢款操作:
使用一個新的電子設備進行登錄轉(zhuǎn)賬��;
從一個新的地理位置或IP地址實行轉(zhuǎn)賬;
改變你通常的轉(zhuǎn)賬模式�;
你當前的轉(zhuǎn)賬賬戶剛注冊不久。
當以上述一種或幾種行為發(fā)生時�����,PayPal在觸發(fā)轉(zhuǎn)賬防護措施過程中�,會拋出一些錯誤,其中包括:
你需要鏈接到其它新的支付方式實現(xiàn)轉(zhuǎn)賬(You’ll need to link a new payment method to send the money)
你的轉(zhuǎn)賬操作被拒絕���,稍后請重新嘗試(Your payment was denied,please try again later)
我們分析發(fā)現(xiàn)��,上述的轉(zhuǎn)賬錯誤可以被枚舉�,如果與漏洞1(登錄后的PayPal雙因素認證(2FA)繞過)配合利用���,就可以繞過轉(zhuǎn)賬安全防護措施����,登錄一些受害者賬戶����,實現(xiàn)錢款操作。而當我們提交了該漏洞之后��,PayPal卻聲稱,由于這需要與其它漏洞配合才能產(chǎn)生實際威脅��,因此不屬眾測范圍之內(nèi)�。
漏洞4:用戶賬戶命名可更改
默認來說,針對用戶名更改��,PayPal只允許用戶一次更改其中的1-2個字母�,之后就不能再更改了��。但是��,我們發(fā)現(xiàn)��,在當前PayPal.com網(wǎng)站應用中����,我們可以更改完整的用戶名,比如下面的從“Tester IAmTester”更改為“christin christina”
我們通過攔截用戶名更改請求���,每次替換其中的1-2個字母�,可以無需任何驗證就可實現(xiàn)完整的用戶名更改�,甚至可以在用戶名字段中加入表情標志等unicode符號。漏洞危害是��,如果攻擊者可進行任意的用戶名更改,那么會與�,如果與漏洞1(登錄后的PayPal雙因素認證(2FA)繞過)配合利用,可劫持其他重名PayPal�。漏洞提交后,PayPal回應稱該漏洞已有其他白帽上報過�����,屬于重復報�。
漏洞5:自助聊天系統(tǒng)存儲型XSS漏洞
在PayPal的自助聊天系統(tǒng)SmartChat中,用戶可以找到一些通常問題的答案��,我們研究發(fā)現(xiàn)SmartChat對用戶輸入缺乏驗證���,可以在聊天框中提交一些程序腳本��,導致可以解析出程序按鈕或框架��。
我們可以用中間人攻擊MITM代理對上述網(wǎng)絡流量進行抓包攔截�,在其中附加進惡意構(gòu)造的Payload����,深入攻擊可獲取受害者賬戶信息。PayPal對該漏洞的回應是�����,這不是一個外部可利用的漏洞,所以不算安全問題���,最后漏洞分類為“不適用”(Not Applicable)���。
漏洞6:安全問題輸入中存在持久型XSS
該漏洞與漏洞5類似,原因在于PayPal未對安全問題的用戶輸入答案實施過濾�����,導致存在XSS���,我們可以使用MITM代理對其抓包構(gòu)造,實現(xiàn)XSS觸發(fā)���。下圖為我們向其中注入了大量可點擊的鏈接:
漏洞危害是�,攻擊者可以在其中嵌入以下鏈接:
提示“Download the new PayPal app”的惡意APP下載鏈接�;
更改轉(zhuǎn)賬收款人的郵箱地址;
對受害者進行鍵盤記錄監(jiān)聽收集***信息����。
PayPal對該漏洞的回應稱已有其他安全人員提交過該漏洞����,而就在同一天���,PayPal對該漏洞進行了修復�。
Cybernews認為的觀點
Cybernews闡述攻擊者的以下攻擊場景為:
在黑市買到包含PayPal賬戶密碼憑據(jù)的信息����,;
使用漏洞1繞過PayPal的登錄后2FA認證�;
使用漏洞3繞過轉(zhuǎn)賬安全措施,可以從賬戶綁定的***實施轉(zhuǎn)賬
攻擊者還可以使用漏洞1繞過登錄后2FA認證�,再使用漏洞4更改其賬戶持有者的PayPal用戶名。
對于攻擊者和騙子來說����,他們會有更多的動機和方式來對這些漏洞進行利用,然而但對PayPal本身來說�����,他們卻認為這些都不是問題�����。
參考來源:cybernews
立即登錄,閱讀全文
閩公網(wǎng)安備 35010202001226號
