La seguente vulnerabilità di PayPal è un difetto di progettazione / implementazione?

0

Sto cercando di capire la logica dietro la vulnerabilità, credo che questo sia un difetto di progettazione non solo un'implementazione.

Per me il problema con il servizio di autenticazione a due fattori su PayPal è che il server non distingue tra le richieste di autenticazione provenienti dall'app mobile e dall'app web. Per questo motivo, quando il server disabilita l'autenticazione a due fattori in base alla richiesta dell'app mobile, viene disabilitata per l'account utente e non solo per l'app mobile dell'utente. La mia interpretazione è corretta?

Vulnerabilità di PayPal

Posta: vulnerabilità PayPal

Stato: pubblicato

Descrizione della vulnerabilità: Recentemente ha riferito che le misure di sicurezza dell'autenticazione a due fattori di Paypal possono essere aggirate. La vulnerabilità o difetto riguarda il modo in cui il flusso di autenticazione PayPals funziona con le app mobili di servizi per iOS e Android. PayPal offre agli utenti la possibilità di utilizzare l'autenticazione a due fattori in vari modi, ognuno dei quali crea un passcode monouso per l'accesso. I moduli a due fattori sono disponibili per essere utilizzati sul sito web ufficiale di PayPal, ma non sono supportati dalle app mobili PayPal. Ecco come ha funzionato: Quando i server PayPal hanno risposto a una richiesta POST inviata dall'app mobile per un account abilitato a due fattori. L'applicazione mostrava un messaggio di errore che indicava che l'utente a due fattori era abilitato e non supportato, inviando inizialmente l'utente al login. Ma quando il valore nella risposta del server rispetto all'autenticazione a due fattori viene modificato in "falso", l'applicazione consente semplicemente all'utente di accedere all'account, ignorando tutte le forme di protezione a due fattori.

    
posta Ubaidah 11.10.2014 - 07:53
fonte

1 risposta

7

La vulnerabilità sta nel fatto che l'applicazione applica la verifica dell'autent sul secondo fattore sul lato client.

Cioè, il servizio stesso non richiede l'autenticazione a due fattori, mai. Ma è disposto a processare l'autenticazione a due fattori, se richiesto, e se l'app del client apprende che l'account ha attivato il fattore due, l'app tenterà la verifica.

Ma se il client non lo rileva (o non viene modificato per non preoccuparsene), allora non richiederà la verifica. E il servizio di back-end non si lamenterà neanche.

La vulnerabilità può essere riassunta in questo modo: "L'autenticazione a due fattori non viene applicata." Che si tratti di un difetto di progettazione o di un difetto di implementazione dipende dal fatto che intendessero farlo in questo modo o se sia stato un incidente. Non hanno detto in alcun modo.

Si noti che questa vulnerabilità è stata scoperta ad agosto da Joshua Rogers. L'attribuzione che hai fornito non è corretta. link

    
risposta data 11.10.2014 - 09:42
fonte

Leggi altre domande sui tag