Benjamin Kunz Mejri, investigador de seguridad, descubrió una falla en el procedimiento de autenticación de la API de PayPal para iOS, y esto permitiría que un usuario acceda a una cuenta anteriormente bloqueada.
En efecto, ya sabemos que cuando un usuario trata de entrar a una cuenta con el password equivocado, la cuenta se bloquea temporalmente luego de cierta cantidad de intentos erróneos, a los fines de evitar ataques de fuerza bruta. Con motivo de esta falla que presenta PayPal, a pesar del bloqueo antes mencionado, si el usuario ingresara el usuario y contraseña correctos desde la aplicación para iOS, el acceso le será concedido sin verificar la suspensión.
Recordemos que PayPal tiene la posibilidad de bloquear cuentas por actividades sospechosas, para evitar, por ejemplo, que un estafador tenga acceso a dinero obtenido de manera ilegal. Con esta falla que presenta PayPal, el estafador podría entrar a su cuenta a través de la app para iOS y sacar su dinero sin perjuicio del bloqueo.
Al parecer, Kunz Mejri descubrió esta falla hace aproximadamente un año, y dio aviso a PayPal, sin recibir por parte de ésta respuesta alguna, y sin ser solucionado el problema. Es por eso que Kunz Mejri decidió publicar su descubrimiento. Según Kunz Mejri, las versiones afectadas de la aplicación para iOS son la 4.6.0 y la más reciente, 5.8.
SE PODRÍA ACCEDER A CUENTAS BLOQUEADAS DEBIDO A VULNERABILIDAD DE PAYPAL
por
Etiquetas: