Компания PayPal исправила опасную уязвимость, которую обнаружил и помог устранить глава немецкой компании Vulnerability Lab Бенджамин Кунц Меджри (Benjamin Kunz Mejri). Оказалось, платформу PayPal можно было использовать для рассылки вредоносных электронных писем.
Так как проблема уже исправлена, а Меджри заработал $1000 через bug bounty программу PayPal, исследователь раскрыл подробную информацию о баге.
Проблема была сосредоточена вокруг того факта, что пользователи PayPal могут поделиться доступом к своему аккаунту с другими людьми, или просто привязать к нему несколько почтовых ящиков. По сути, атакующему было достаточно создать новый аккаунт и воспользоваться данной функцией. Дело в том, что после добавления нового email-адреса к списку, PayPal отправит на этот адрес письмо, чтобы верифицировать его. Меджри обнаружил, что может добавить вредоносный код непосредственно поле с именем своего аккаунта. Этот код автоматически подхватит почтовая система PayPal, поместит его в состав верификационного письма и направит жертве.
Таким образом, можно было атаковать пользователей, используя настоящие автоматические письма PayPal. Такие сообщения не затеряются в недрах спам-фильтров, и вряд ли кто-то сочтет их подозрительными. Но как только жертва откроет зараженное послание, вредоносный код будет выполнен. Меджри пишет, что данный метод можно было использовать для перехвата сессий, фишинговых атак, перенаправления жертвы на внешние сайты и других махинаций. Исследователь приложил к своему отчету proof-of-concept видео, которое можно увидеть ниже.
Устранение проблемы заняло немало времени. Уязвимость была обнаружена еще в октябре 2015 года, но окончательно справиться с багом разработчики PayPal сумели лишь в текущем месяце.
Фото: Shutterstock