[paypal-security-threats.jpg]

安全研究人员&白帽子Kunz Mejri近日发现了一个关于Paypal移动支付API的漏洞，攻击者可以利用该漏洞绕过Paypal的防盗号锁定设计。

利用移动支付API绕过帐号锁定设计

PayPal的防盗号锁定设计是这样的：如果有人多次输入不正确的密码，其PayPal帐户就会被暂时封锁。要解封帐户，用户必须回答一系列的安全提问。

这一安全功能只在常规的Web应用程序中应用，但安全研究人员&白帽子Kunz Mejri发现：移动API不检查账户是否被封，直接允许用户再次登录，

Benjamin Kunz Mejri是 漏洞实验室(Vulnerability Lab)创始人，也是发现该问题的人，他于上周发表了这个漏洞。

“客户端API只会检查帐户是否存在，而不会检查账户是否被封锁，这使得封锁的用户能够访问PayPal账户，并进行转账等交易，他可以送钱从帐户中，iPhone / iPad的Paypal应用需要更新，以确保应用能够验证帐户状态，以防账号盗用的事情发生。”

该漏洞已经过测试，在iOS的应用程序中得到验证，但Kunz Mejri称，Paypal Android版本的应用程序也受到影响。

漏洞证明POC(proof-of-concept)视频：

https://www.youtube.com/watch?v=RXubXP_r2M4

漏洞确认引发分歧

这份安全漏洞报告早在2013年3月已提交给PayPal，在此之后PayPal应用程序几度更新，但漏洞始终没有被修复。Kunz Mejri说Paypal表示因最初没能复现漏洞，否认存在问题。然而，当白帽子Kunz Mejri提供POC(proof-of-concept)视频后，PayPal最终确认了该漏洞（这种厂商也算典型的不到黄河不死心……）。但PayPal公司表示不会为该漏洞支付报酬，因为PayPal认为这超出了他们的奖励范围。但Kunz Mejri坚持认为他应该有资格获得漏洞奖金。

在SecurityWeek与PayPal取得联系后，PayPal表示他们公司目前正在处理漏洞，之后也会奖励报告安全问题的研究人员。Paypal在一份电子邮件声明中说。

“通过Paypal的漏洞赏金计划，白帽子帮助我们发现了使用PayPal的移动应用程序时绕过安全问题的方法。我们客户的账户安全对我们很重要，我们正在努力解决这个问题，需要强调的是我们没有任何证据表明这一漏洞影响了Paypal帐户的安全性。”

小编：以后大家与厂商产生纠纷，可以向FreeBuf投诉甚至曝光：）

[参考来源vulnerability-lab securityweek，作者/FreeBuf小编嘎巴嘎巴，转载请注明来自Freebuf.COM]

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)