quarta-feira, 25 de junho de 2014

'Morno e distorcido' sensação de segurança PayPal 2fa mobe defeitos calafrios


Gartner capacidades críticas para backup endpoint empresa


Vídeo Duo Labs


Segundo fator de autenticação do PayPal (2FA) proteção pode ser atenuado através de interfaces de dispositivos móveis que permitem que os fraudadores para roubar fundos com nome de usuário e senha da vítima, os investigadores Duo segurança dizem.







O desvio, crespo, mas não erradicada por manchas lado do cliente, existiu porque o PayPal iOS e Android infra-estrutura de aplicativos móveis pode ser enganado e ignorando a existência de 2FA controla no lugar em contas de usuários.


Aplicativos do PayPal não apoiou 2FA e mensagens de erro geradas orientando os usuários a usar o site quando os usuários tentaram registrar em contas com a medida de proteção no lugar.


Duo Labs pesquisador sênior de segurança Zack Lanier criou um desvio script Python 2FA que bateu em duas interfaces de programação de aplicativos PayPal que movimentou a autenticação da conta e transferência de dinheiro.


"Autenticação de dois fatores do PayPal é um tanto discutível", disse Lanier.


"Como um ponto mais amplo, autenticação de dois fatores é, naturalmente, uma coisa muito boa, mas falhas da execução como esta dão origem a vulnerabilidades que realmente subvertem e impacto que a proteção forte."


Lanier descobriram que a resposta enviada a partir de servidores PayPal quando os usuários móveis tentou entrar poderia ser manipulado para marcar a existência de 2fa como falsa.


"Nós desenvolvemos um conceito de prova de explorar a alavancar essa falta de aplicação 2fa, interface com a API do PayPal diretamente e efetivamente imitando o aplicativo móvel PayPal como se estivesse acessando uma conta de não-2FA", ele escreveu em uma mensagem de divulgação .


"A exploração se comunica com dois serviços de PayPal API separados - um para autenticar (apenas com credenciais primários), e outra para transferir dinheiro para uma conta de destino."


Ele disse Threatpost que o ataque destruiu a 2fa sentimento "morno e distorcido" e sugeriu PayPal username e password da conta lixeiras públicas poderia fazer alvos atraentes.


Trabalho em torno do PayPal impediram a recuperação de dados da carteira de usuário, mas não esmagar o desvio núcleo que permanece em aberto. A empresa de pagamentos planejado para empurrar uma correção permanente no final desta semana.


Detalhes técnicos completos estavam disponíveis no blog Duo Labs. ®



Postado por às
Marcadores: , , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)