Paypal : de nombreuses failles découvertes dont des attaques de type XSS ou brute force !

Selon le site spécialisé et très bien informé CyberNews.com, PayPayl essuierait de nombreuses vulnérabilités critiques au sein de son système de paiement ; allant des procédures d'authentification à deux facteurs (double-authentification) à des failles de type XSS (Cross-Site Scripting)...

 

 

En voici un court résumé :

 

  • Le changement de nom : habituellement, seuls "une à deux lettres" sont changeables et ce, au début, au sein du profil-utilisateur du compte Paypal. Toutefois, il a été démontré par le webzine sécuritaire que le nom pouvait être changé... totalement ;

  • Envoyer de l'argent : par l'entremise d'une attaque en "brute force", il était possible de contourner la mise en place de contrôles sécuritaires (si connexion à un nouvel appareil, depuis une autre IP ou toute information qui changerait du profil-connexion habituellement utilisé pour un compte donné) pour envoyer de l'argent depuis un compte Paypal ainsi usurpé ;

  • Connexion sans usage (quand actif) du mot de passe à usage unique (One-Time password, One-Time PIN) : possibilité de détourner le système en permettant de renseigner un nouveau numéro de téléphone sans confirmer ce dernier par OTP. Pour ce faire, il suffisait d'enregistrer la coordonnée téléphonique nouvelle depuis "api-m.paypal.com" en modifiant le champ ; et c'est tout... A ce sujet, cette fois, Paypal a pris un peu plus au sérieux cette vulnérabilité (contrairement à certaines dont le sujet ouvert par CyberNews avait été soit verrouillé, jugé hors-cas quand il n'était pas attribué à quelqu'une d'autre...) ; avant de verrouiller également ce sujet ;

  • Connexion double-authentification (2FA ou 2SV) "Authflow" : possibilité de détourner le système (par message via mail ou SMS, par exemple) sous Android (version Paypal-système 7.16.1) via l'usage d'un proxy MITM (!) pour permettre (permission, littéralement, donc) au compte malicieux de pouvoir s'identifier sans avoir à subit la double-authentification ;

  • Attaque XSS potentiellement exploitable depuis le formulaire de validation-vérification du texte de l'utilisateur au sein du SmartChat (chat auto-assistance) de Paypal, toujours depuis l'utilisation d'un proxy MITM. L'usage de cette technique permet d'aspirer les données et de renvoyer, au passage, un ou plusieurs programmes (payload) malicieux. "Inexploitable à l'extérieur" selon Paypal, la faille a été classée sans suite, "non-applicable" ;

  • Enfin, une attaque XSS basée sur le même modèle que ci-dessus, au niveau du champ de saisie des questions de sécurité de Paypal. L'individu malveillant peut injecter le code depuis la section sécuritaire dédiée aux questions avec un lien cliquable (vecteur), par exemple, permettant d'aspirer les données-utilisateur. Paypal aurait colmaté la brèche tout en indiquant que l'exploit avait déjà été reporté (le même jour ?).

 

Comme le souligne en toute perplexité CyberNews, revendiquer un potentiel problème sécuritaire du même acabit ne semble pas rendre plus alerte Paypal : "il semble que vous serez simplement puni pour l'avoir signalé", est-il ainsi conclu. On notera, qui plus est, une autre vulnérabilité découverte sur le tard par des utilisateurs qui ont vu certaines transactions effectuées depuis leur compte Paypal alors qu'elles n'étaient pas de leur fait. Cela concerne des comptes jointés avec Google Pay qui exploiterait une vulnérabilité au moment de la transaction finale, lors de la création d'une carte virtuelle : "PayPal autorise les paiements sans contact via Google Pay. Si vous l’avez configurée, vous pouvez lire les détails de la carte d’une carte de crédit virtuelle à partir du mobile. Pas d’authentification nécessaire", explique Fenske à ZDNet.com qui a, également, recueillit la réaction de Paypal : "nous examinons et évaluons ces informations et prendrons toutes les mesures appropriées jugées nécessaires pour protéger davantage nos clients", affirme un porte-parole de la société internationale qui enquête actuellement sur ce (ou ces) problème(s) sécuritaire(s)... A suivre !

 

 

Source : CyberNews - 17 Février 2020 - Paypal : 6 vulnérabilités découvertes (+1 via l'intégration avec Google Pay : génération de carte virtuelle).