Paypal, scoperta falla nel login tramite l’app mobile

paypal-logo

Il team di ricerca di Duo Security ha divulgato una notizia piuttosto importante: infatti, è stata scoperta una vulnerabilità all’interno di PayPal che offre la possibilità di bypassare il dispositivo di autenticazione 2FA nel corso del procedimento di login.

Dal momento che le applicazioni mobili possono contare su una API del servizio web, nonostante non garantiscano un supporto all’autenticazione in due fasi, c’è la possibilità di realizzare uno script per poter evitare il sistema Security Key.

PayPal, aspettando che venga rilasciata la patch definitiva, ha già introdotto un workaround per poter limitare l’impatto di falla.

Duo Security ha trovato questo bug andando individuandolo direttamente durante un’analisi sul traffico http/HTTPS, tra l’app per dispositivi iOS e i server di PayPal.

Il dispositivo di sicurezza Security Key mette a disposizione un ulteriore grado di protezione per l’account, dal momento che l’operazione di login viene permesso solamente dopo aver immesso un codice, che viene realizzato con una card oppure ottenuto tramite messaggi di testo.

Il dispositivo 2FA non può, però, contare sul supporto delle app mobili: per questa ragione, nel caso in cui dovesse essere attivato, l’utente potrà notare come compaia sul display un messaggio di errore.

In poche parole, sfruttando il token di sessione, c’è la possibilità di eseguire l’accesso all’account e portare a termine dei pagamenti non autorizzati.

Duo Security, di conseguenza, ha voluto mettere a punto un proof-of-concept in Phyton, proprio con l’intento di provare la falla che ha colpito l’app mobile di PayPal.

Gli account degli utenti, almeno stando a quanto sottolineato da PayPal, sono completamente al sicuro, ma per il momento è da notare la disattivazione dell’accesso mediante app mobile per chi impiega la 2FA.

Add Comment