Un ricercatore, noto con il nickname di “h4x0r_dz”, ha dimostrato di aver individuato un bug nel meccanismo di autenticazione dei token PayPal che trasferiscono denaro per far fronte ai pagamenti. Lo sfruttamento di questa vulnerabilità può portare alla perdita di denaro dal conto della vittima, senza che vengano sottratte credenziali.
Il problema, al momento, non verrà risolto da PayPal.
Indice degli argomenti
L’attacco clickjacking contro utenti PayPal
La tecnica del clickjacking è utilizzata per “dirottare” i clic del mouse che l’utente fa in una pagina sul contenuto di un’altra pagina, magari invisibile all’utente stesso: questo produce effetti non per quello che l’utente decide di voler cliccare, ma per ciò che l’attaccante predispone che venga cliccato nella pagina da lui gestita.
Nel caso specifico, si tratta di sovrapporre a una specifica pagina legittima di PayPal, un IFrame invisibile che porterebbe a dirottare i clic dell’utente su una pagina precedentemente configurata ad hoc per rubare denaro dal conto della vittima.
Nell’esempio discusso dal ricercatore, infatti, si parte dal problema di accettazione di token dell’endpoint PayPal che, secondo le analisi effettuate, sembra accettare anche token differenti dai “billingAgreementToken” per il quale dovrebbe essere unicamente predisposto.
Sfruttando un apposito PoC (Proof of Concept), diffuso dallo stesso ricercatore dopo averne segnalato il problema 7 mesi fa a PayPal, è sufficiente installare una pagina web corredata di un Iframe che punti all’endpoint PayPal appena specificato. A questo punto, un clic dell’utente attiverebbe questa richiesta token, che passerebbe i controlli e autorizzerebbe il pagamento richiesto dall’attaccante sul suo conto.
Il bug funziona per tutti i casi di account PayPal già loggati sul browser.
Ecco nell’immagine seguente come potrebbe apparire una pagina malevola che sfrutta questo meccanismo, con un unico clic della vittima, sul pulsante precedentemente preimpostato (secondo quanto fornito dal ricercatore).
Il token funziona anche per pagare servizi tramite PayPal
La vulnerabilità potrebbe essere utilizzata anche per ricaricare un saldo o pagare un abbonamento a servizi che accettano pagamenti PayPal.
“Ci sono molti servizi online che ti permettono di ricaricare il tuo saldo tramite PayPal. Steam o Netflix, ad esempio! Posso usare un exploit e costringere la vittima a ricaricare il mio saldo di Steam o pagare un abbonamento a Netflix!” – ha aggiunto il ricercatore nella sua analisi.
L’esempio riportato dal ricercatore è a dimostrazione del pagamento di un abbonamento su Namecheap (provider di servizi Internet), tramite account PayPal della vittima.
PayPal non riconosce il problema, almeno per ora
Curiosa, invece, la chiusura di questa segnalazione con la risposta ufficiale di PayPal diffusa sempre dal ricercatore. Avendo partecipato, per questo bug, al bug bounty di PayPal, dopo aver fornito dettagli interessanti a coprire questa lacuna, compresi video che descrivono lo sfruttamento e le facili implementazioni, il ricercatore ha ricevuto in risposta che non si può parlare in questo caso di vulnerabilità.
Viene detto, infatti, che si tratterebbe unicamente di frode (inteso come reato) e per il quale PayPal stesso non può essere il candidato a perseguirlo, ma bensì le autorità statali e di controllo.
Aggiungendo, inoltre, che come società PayPal collabora costantemente con le autorità antifrode per scoraggiare comportamenti simili e che, anche in questo caso, “qualsiasi cosa sospetta verrà segnalata e affrontata dalle rispettive entità governative”.
