ALERTAS | Noticias | 26 JUN 2014

Una vulnerabilidad de PayPal permite saltarse el mecanismo de autenticación

Según investigadores de Duo Security, hay una vulnerabilidad en la forma en que PayPal maneja ciertas peticiones de clientes móviles que pueden permitir a un atacante eludir el mecanismo de autenticación de dos factores y transferir dinero de la cuenta de la víctima a cualquier destinatario que elija.
PayPal
Hilda Gómez

Investigadores de seguridad han detectado una grave vulnerabilidad en PayPal por la que “un atacante sólo necesita el usuario y contraseña de la víctima para acceder a una cuenta protegida con autenticación de dos factores y enviar dinero, ya que la protección ofrecida por el mecanismo de autenticación puede ser saltada y anulada", ha asegurado Zach Lanier, investigador de seguridad senior de Duo Security.

El fallo radica en la forma en que el flujo de autenticación de PayPal trabaja con las aplicaciones móviles del servicio para iOS y Android. Los investigadores de Duo Security han desarrollado una aplicación de prueba-de-concepto que puede explotar la vulnerabilidad.

PayPal ofrece a los usuarios la opción de usar un sistema de autenticación de dos factores (2FA) que viene en dos formas, cada una de las cuales genera una contraseña de un solo uso al ingresar. Este sistema se puede utilizar en el sitio web de PayPal, pero actualmente no es soportado por las apps móviles de PayPal. Los investigadores fueron capaces así de crear una aplicación que engaña a la API de PayPal haciéndola creer que la aplicación móvil estaba accediendo a una cuenta que no tiene la autenticación de dos factores activada, ignorando por completo la protección 2FA.

PayPal ya ha implementado una solución para solucionar el fallo, pero no prevé anunciar un parche completo hasta finales de julio.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información