Biztonsági kutatók megtalálták a módját, hogy megkerüljék a PayPal által is alkalmazott kétfaktoros autentikációs mechanizmusát a mobilos alkalmazásban, ezért a cég a javításig felfüggesztette a szolgáltatás működését – írta meg a DARKReading.

A beszámoló szerint Dan Saltman független kutató márciusban jelezte a PayPalnek, hogy talált egy olyan biztonsági rést az iOS-re írott alkalmazásban, amellyel kijátszható a kétfaktoros hitelesítés. Saltman áprilisig nem kapott választ a cégtől, ezért a mobilbiztonsággal foglalkozó Duo Security vállalkozásnál dolgozó barátaihoz fordult, hogy erősítsék meg kutatási eredményeit. Ez megtörtént, sőt a Duo Security szakemberei felfedezték, hogy az androidos alkalmazásban is hasonló probléma található – erről is értesítették a PayPalt.

A Duo Security készített egy bizonyító erejű mintatámadást (proof-of-concept), amelyből az derül ki, hogy a legrosszabb esetben a támadó képes hozzáférni a kompromittált számlához is.

Az ismertetett hiba egy PayPal API-ban található, amelyik az OAuth szabvány alapján végzi a hitelesítési folyamatokat. Vizsgálataik szerint a rés a webes PayPal-alkalmazásban nem található meg. A kutatók beszámolója szerint a választható kétfaktoros autentikáció a hiba következtében kikapcsolható, így ha a támadó valamilyen úton megszerezte a felhasználó jelszavát, akkor szabad utat kap a számlához.

A Duo Security közölte azt is, hogy a vállalat végre reagált a megkeresésekre, dolgoznak a javításon, amit várhatóan július 28-án adnak ki – de addig is a mobilos alkalmazásban letiltották a kétfaktoros autentikáció lehetőségét. Egy közleményben ugyanakkor hangsúlyozzák, hogy a fiókok biztonságban vannak, csak „elővigyázatosságból” függesztették fel ezt az opciót.

Az ügy azért kavar majd várhatóan hatalmas vihart, mivel mind a közvéleményben, mind a szakma jó részében az a hit él, hogy napjaink egyik legbiztonságosabb – talán: „a” legbiztonságosabb – védelmi mechanizmusa az online módon zajló tranzakciók esetén a kétfaktoros autentikáció. Amennyiben a részletek is napvilágot látnak, egészen biztosan elindul egy olyan konzultáció, ami a korábbi meggyőződés korrekcióját célozza, illetve nagy valószínűséggel az okostelefonokat egyre nagyobb számban használó világban mindazokat a technológiákat felül kell vizsgálni, amelyeket világszerte használnak a pl. a pénzintézetek.