Компания PayPal исправила опасную уязвимость, которую обнаружил и помог устранить глава немецкой компании Vulnerability Lab  Бенджамин Кунц Меджри (Benjamin Kunz Mejri). Оказалось, платформу PayPal можно было использовать для рассылки вредоносных электронных писем.

Так как проблема уже исправлена, а Меджри заработал $1000 через bug bounty программу PayPal, исследователь раскрыл подробную информацию о баге.

Проблема была сосредоточена вокруг того факта, что пользователи PayPal могут поделиться доступом к своему аккаунту с другими людьми, или просто привязать к нему несколько почтовых ящиков. По сути, атакующему было достаточно создать новый аккаунт и воспользоваться данной функцией. Дело в том, что после добавления нового email-адреса к списку, PayPal отправит на этот адрес письмо, чтобы верифицировать его. Меджри обнаружил, что может добавить вредоносный код непосредственно поле с именем своего аккаунта. Этот код автоматически подхватит почтовая система PayPal, поместит его в состав верификационного письма и направит жертве.

Таким образом, можно было атаковать пользователей, используя настоящие автоматические письма PayPal. Такие сообщения не затеряются в недрах спам-фильтров, и вряд ли кто-то сочтет их подозрительными. Но как только жертва откроет зараженное послание, вредоносный код будет выполнен. Меджри пишет, что данный метод можно было использовать для перехвата сессий, фишинговых атак, перенаправления жертвы на внешние сайты и других махинаций. Исследователь приложил к своему отчету proof-of-concept видео, которое можно увидеть ниже.

Устранение проблемы заняло немало времени. Уязвимость была обнаружена еще в октябре 2015 года, но окончательно справиться с багом разработчики PayPal сумели лишь в текущем месяце.

Фото: Shutterstock



1 комментарий

  1. alexeypetrenko

    06.04.2016 at 10:32

    Не вводите людей в заблуждение!
    >> Но как только жертва откроет зараженное послание, вредоносный код будет выполнен

    Адекватный почтовый клиент ничего не выполнит при получении такого письма. Эти «исследователи» сохраняют письмо в html файл и открывают его в браузере.
    >> After the switch over to the system of the mobile device we extract the send message and save it as basic html file which results in an execution.

Оставить мнение