Los investigadores de la firma de ciberseguridad Cybernews publicaron un informe detallando el hallazgo de seis vulnerabilidades en el sistema de pagos electrónico PayPal que, de ser explotadas, permitirían a los actores de amenazas realizar diversos ataques, desde omisión de autenticación multifactor, hasta el envío de código malicioso.
A continuación se muestra una breve explicación de cada una de las vulnerabilidades encontradas. Como ya se ha mencionado, su explotación afecta principalmente a los usuarios finales del sistema.
Omisión de autenticación de dos factores (2FA)
Los especialistas en ciberseguridad descubrieron que es posible omitir la autenticación de dos factores (2FA) empleando la versión actual de la app de PayPal para Android; esta medida de seguridad se activa cuando el usuario trata de iniciar sesión en la plataforma desde un nuevo dispositivo, ubicación o dirección IP. Para esto, los investigadores emplearon un proxy MITM y, después de una serie de pasos, obtuvieron un token para ingresar a la cuenta.
La falla no ha sido corregida, por lo que no es posible revelar más detalles técnicos del ataque. Además, este proceso es poco complejo y toma unos cuantos minutos completarlo, por lo que los usuarios están expuestos a un peligro serio.
Verificación de teléfono sin PIN de un solo uso
Los investigadores también descubrieron una forma de confirmar un nuevo número telefónico en PayPal sin el PIN de un solo uso (OTP), un sistema para verificar si un número telefónico está asociado al titular de una cuenta. En caso contrario, el número es rechazado.
Cuando un usuario registra un nuevo teléfono, se realiza una llamada a api-m.paypal.com, que envía el estado de la confirmación del teléfono. Los especialistas demostraron que es posible cambiar esta llamada de forma muy fácil, por lo que PayPal confirmará el registro del nuevo número de forma incorrecta.
Omisión de envío seguro de dinero
Para evitar fraudes y otras conductas ilícitas, PayPal implementó, entre otras medidas, un mecanismo que se activa si se detecta una o más de las siguientes condiciones:
- Se detecta un nuevo dispositivo
- Se intenta enviar pagos desde una ubicación o dirección IP diferente
- Se detectan cambios en su patrón de envío habitual
- La cuenta es de reciente creación
Si se cumplen estas condiciones, PayPal arroja algunos mensajes de errores a los usuarios como:
- “Deberá vincular un nuevo método de pago para enviar el dinero”
- “Su pago fue denegado, intente nuevamente más tarde”
Durante la investigación se descubrió que este mecanismo de bloqueo de envíos es vulnerable a ataques de fuerza bruta, por lo que un atacante con acceso a credenciales de PayPal puede acceder a las cuentas comprometidas.
Cambio de nombre completo
Una característica predeterminada en PayPal establece que los usuarios sólo pueden cambiar uno o dos caracteres de su nombre cada vez; posteriormente, dicha opción desaparece. Los especialistas en ciberseguridad crearon una cuenta de prueba para demostrar la presencia de una falla que permite la modificación completa del nombre.
Vulnerabilidad XSS en SmartChat
SmartChat es un chat de autoayuda en PayPal que permite a los usuarios acceder a las preguntas y respuestas más frecuentes. Los especialistas en ciberseguridad descubrieron que esta implementación carece de una validación que verifique el texto que los usuarios ingresan. Empleando un ataque Man-in-The-Middle (MiTM), los investigadores lograron capturar el tráfico dirigido a los servidores de PayPal y añadirles una carga maliciosa.
Vulnerabilidad XSS en preguntas de seguridad
Esta es una falla similar a la anterior y existe debido a que PayPal no depura su entrada de Preguntas de seguridad. La falla es explotable empleando el mismo método descrito en el párrafo anterior. A continuación se muestra una captura de pantalla que incluye el código de prueba inyectado en la cuenta objetivo, resultando en un enlace cliqueable:
Un actor de amenazas puede inyectar secuencias de comandos en las cuentas de otras personas con el fin de extraer datos confidenciales.
Acorde al Instituto Internacional de Seguridad Cibernética (IICS), las fallas reportadas no han sido corregidas, por lo que millones de usuarios de PayPal siguen expuestos a su explotación. Al igual que muchas otras firmas tecnológicas, PayPal cuenta con un programa de recompensa por reportes de vulnerabilidades, operado a través de la plataforma HackerOne. A pesar de que esta es una de las plataformas de divulgación más conocidas, especialistas en ciberseguridad consideran que el modelo vigente de reporte de HackerOne entorpece un poco la labor de los hackers éticos e incluso incentiva prácticas ilícitas como la venta de exploits en el mercado negro del hacking.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad