Um pesquisador de segurança afirma ter descoberto uma vulnerabilidade não corrigida no serviço de transferência de dinheiro do PayPal que pode permitir que invasores induzam as vítimas a concluir transações direcionadas ao invasor com um único clique.
Clickjacking, também chamado de correção de interface do usuário, refere-se a uma técnica em que um usuário inconsciente é induzido a clicar em elementos de página da Web aparentemente inócuos, como botões, com o objetivo de baixar malware, redirecionar para sites maliciosos ou divulgar informações confidenciais.
Isso normalmente é alcançado exibindo uma página invisível ou elemento HTML no topo da página visível, resultando em um cenário em que os usuários são enganados ao pensar que estão clicando na página legítima quando na verdade estão clicando no elemento não autorizado sobreposto a ela.
“Assim, o invasor está ‘seqüestrando’ cliques destinados à página [legítima] e os roteando para outra página, provavelmente pertencente a outro aplicativo, domínio ou ambos”, escreveu o pesquisador de segurança h4x0r_dz em um post documentando as descobertas.
h4x0r_dz, que descobriu o problema no endpoint “www.paypal[.]com/agreements/approve”, disse que o problema foi relatado à empresa em outubro de 2021.
“Esse endpoint é projetado para Billing Agreements e deve aceitar apenas billingAgreementToken”, explicou o pesquisador. “Mas durante meus testes profundos, descobri que podemos passar outro tipo de token, e isso leva ao roubo de dinheiro da conta do PayPal de uma vítima.”
Isso significa que um adversário pode incorporar o ponto de extremidade mencionado em um iframe, fazendo com que uma vítima já logada em um navegador da Web transfira fundos para uma conta do PayPal controlada pelo invasor simplesmente com o clique de um botão.
Ainda mais preocupante, o ataque pode ter consequências desastrosas em portais online que se integram ao PayPal para checkouts, permitindo que o agente malicioso deduza valores arbitrários das contas do PayPal dos usuários.
“Existem serviços online que permitem adicionar saldo usando o PayPal à sua conta”, disse h4x0r_dz. “Posso usar o mesmo exploit e forçar o usuário a adicionar dinheiro à minha conta, ou posso explorar esse bug e deixar a vítima criar/pagar uma conta Netflix para mim!”
(Atualização: A história foi corrigida para mencionar que o bug ainda não foi corrigido e que o pesquisador de segurança não recebeu nenhuma recompensa de bug por relatar o problema. O erro é lamentável. Também entramos em contato com o PayPal para obter mais detalhes .)
Source: TheHackerNews
