Di recente, è stata scoperta una falla gravissima su PayPal che potrebbe consentire a un malintenzionato di rubare il denaro contenuto su un account violato. Secondo TheHackerNews, la prima fonte ad aver dato la notizia, il ricercatore di sicurezza noto come h4x0r_dz ha scoperto una vulnerabilità su PayPal ancora irrisolta che potrebbe essere sfruttata per indurre un utente a completare transazioni controllate da altri soggetti con un solo clic.
L'aspetto insidioso è che l'attacco prevede l'uso di una finestra di pagamento PayPal falsa, ma perfettamente sovrapposta a una pagina legittima, al fine di ingannare gli utenti. La tecnica, nota come Clickjacking, è stata già dimostrata e il bug segnalato al programma di correzione dei bug di PayPal diversi mesi fa, ma sembra che non la falla non sia ancora stata corretta.
Secondo quanto scoperto, la vulnerabilità si trova nell'endpoint dedicato all'approvazione delle fatture. Purtroppo, sembra che l'endpoint in questione accetti token diversi da billingAgreementToken, che in teoria dovrebbe essere l'unico a poter essere accettato. È proprio questa la vulnerabilità che consentirebbe a un malintenzionato di rubare il denaro di una vittima ignara, tramite un endpoint caricato su un Iframe: cliccando sulla pagina, si innesca il meccanismo di trasferimento del denaro al conto PayPal del criminale.
Inoltre, pare che la stessa vulnerabilità sia sfruttabile per l'iscrizione a servizi che consentono pagamenti tramite PayPal. Il ricercatore ha pubblicato un video su YouTube in cui mostra un Proof of Concept dell'exploit, visionabile qui sopra. Come dicevamo, al momento PayPal non è ancora intervenuta a riguardo e la segnalazione del bug non risulta premiata come previsto dal programma di bug hunt dell'azienda.