不被PayPal待见的6个安全漏洞

最近，Cybernews分析人员称，他们发现了和PayPal相关的6个高危漏洞，攻击者利用这些漏洞可以实现：绕过PayPal登录后的双因素认证（2FA）、使用其内部智能聊天系统发送恶意代码。然而就在上报了这些漏洞后，Cybernews遇到了无休止拖延、无人回应、含糊响应和不被重视的情形。以下是Cybernews就发现的6个漏洞进行的说明，抛开是非对错，我们只来围观其技术姿势就好。

在对 PayPal for Android (v. 7.16.1)的安卓APP分析中，我们发现PayPal对用户手机和邮箱的身份验证存在登录后的2FA认证漏洞。也就是说当攻击者以其它方式获取了受害者的密码凭据实施登录后，由于PayPal判定攻击者使用的手机设备或IP地址与之前受害者的不同，从而会发起一个2FA方式的身份验证，此时，PayPal会通过短信或邮箱发送一个验证码给当前登录的攻击者，只有正确输入该验证码，登录才能继续往下真正有效进入受害者账户。

我们分析发现，在PayPal新推出的一个应用系统中，它会检查注册手机号码是否为当前用户账户所持有，如果不是，则会拒绝进一步的登录。在该系统中，当用户用手机号码进行账户注册时，会向PayPal后端服务器api-m.paypal.com执行一个预录式呼叫或短信请求以进行用户状态确认。这里存在的问题是，我们可以更改其中的预录式呼叫确认方式，实现对用户注册绑定手机号码的更改。危害是由于可以不通过短信验证码，很多骗子可以利用该漏洞，绕过电话身份验证，创建欺诈账户。

为了避免欺诈和其它恶意行为，PayPal在应用中内置了很多保护用户钱款的转账防护措施，来针对以下用户钱款操作：

使用一个新的电子设备进行登录转账；

从一个新的地理位置或IP地址实行转账；

改变你通常的转账模式；

你当前的转账账户刚注册不久。

当以上述一种或几种行为发生时，PayPal在触发转账防护措施过程中，会抛出一些错误，其中包括：

你需要链接到其它新的支付方式实现转账（You’ll need to link a new payment method to send the money）

你的转账操作被拒绝，稍后请重新尝试（Your payment was denied, please try again later）