บริษัทด้านความปลอดภัย MWR InfoSecurity ได้ปล่อยรายละเอียดช่องโหว่บนแอพพลิเคชั่น PayPal บนแอนดรอยด์ ซึ่งทำให้ผู้โจมตีสามารถรันคำสั่งอันตรายได้จากระยะไกลผ่านทางช่องโหว่ man-in-the-middle ช่องโหว่นี้ยังคงมีอยู่ในแอพพลิเคชั่นที่มีเวอร์ชันต่ำกว่า 5.3 และบนแอนดรอยด์เวอร์ชันต่ำกว่า 4.2
ในรายละเอียดที่ถูกปล่อยมานั้นกล่าวว่า ปัญหาของช่องโหว่นี้เกิดจาก PayPal มีการใช้ Web View เพื่อตรวจสอบใบอนุญาต SSL แต่ยังมีการทำงานต่อแม้ว่าจะตรวจเจอข้อผิดพลาดของใบอนุญาต SSL แทนที่จะทำการแสดงข้อความผิดพลาดหรือปิดการเชื่อมต่อนั้นทิ้งไป (CVE-2013-7201) อีกทั้งยังมีการอิมพลีเมนต์จาวาสคริปต์อินเตอร์เฟสใน Web View ซึ่งจะทำให้สั่งรันคำสั่งต่างๆ ได้ด้วย (CVE-2013-7202)
ทาง PayPal ปฏิเสธที่จะจ่ายเงินตามโปรแกรม Bug Bounty ให้เนื่องจากปัญหา SSL ไม่ได้อยู่ในขอบเขตของโปรแกรมนี้ แม้ว่าทาง MWR จะมีการส่งรายละเอียดของช่องโหว่หรือแม้กระทั่งวีดิโอที่มีการทำ PoC ไปแล้ว แต่ทาง PayPal อ้างว่าไม่มีผลกระทบต่อแบรนด์ของ PayPal สำหรับการป้องกันการโจมตีผ่านทางช่องโหว่นี้นั้น แนะนำให้ผู้ใช้งานทำการอัพเดตแอพฯ เป็นเวอร์ชันล่าสุด (5.4) โดยด่วน
ที่มา : blognone
Leave a comment!
You must be logged in to post a comment.