Un fallo de PayPal hace vulnerable el mecanismo de autenticación

Investigadores de seguridad han detectado una grave vulnerabilidad en PayPal por la que “un atacante sólo necesita el usuario y contraseña de la víctima para acceder a una cuenta protegida con autenticación de dos factores y enviar dinero, ya que la protección ofrecida por el mecanismo de autenticación puede ser saltada y anulada", ha asegurado Zach Lanier, investigador de seguridad senior de Duo Security.

El fallo radica en la forma en que el flujo de autenticación de PayPal trabaja con las aplicaciones móviles del servicio para iOS y Android. Los investigadores de Duo Security han desarrollado una aplicación de prueba-de-concepto que puede explotar la vulnerabilidad.

PayPal ofrece a los usuarios la opción de usar un sistema de autenticación de dos factores (2FA) que viene en dos formas, cada una de las cuales genera una contraseña de un solo uso al ingresar. Este sistema se puede utilizar en el sitio web de PayPal, pero actualmente no es soportado por las apps móviles de PayPal. Los investigadores fueron capaces así de crear una aplicación que engaña a la API de PayPal haciéndola creer que la aplicación móvil estaba accediendo a una cuenta que no tiene la autenticación de dos factores activada, ignorando por completo la protección 2FA.

PayPal ya ha implementado una solución para solucionar el fallo, pero no prevé anunciar un parche completo hasta finales de julio.