No Comments

Neuer ungepatchter Fehler könnte Angreifer dazu bringen, Geld von PayPal-Benutzern zu stehlen

 

Ein Sicherheitsforscher behauptet, eine ungepatchte Schwachstelle im Geldtransferdienst von PayPal entdeckt zu haben, die es Angreifern ermöglichen könnte, Opfer dazu zu bringen, unwissentlich vom Angreifer gesteuerte Transaktionen mit einem einzigen Klick abzuschließen.

Clickjacking, auch UI Redressing genannt, bezieht sich auf eine Technik, bei der ein unwissender Benutzer dazu verleitet wird, auf scheinbar harmlose Webseitenelemente wie Schaltflächen zu klicken, mit dem Ziel, Malware herunterzuladen, auf bösartige Websites umzuleiten oder vertrauliche Informationen preiszugeben.

Dies wird normalerweise erreicht, indem eine unsichtbare Seite oder ein unsichtbares HTML-Element über der sichtbaren Seite angezeigt wird, was zu einem Szenario führt, in dem Benutzer glauben, dass sie auf die legitime Seite klicken, wenn sie tatsächlich auf das darüber gelegte betrügerische Element klicken.

„Daher ‚entführt‘ der Angreifer Klicks, die für [die legitime] Seite bestimmt sind, und leitet sie auf eine andere Seite weiter, die höchstwahrscheinlich einer anderen Anwendung, Domain oder beidem gehört“, schrieb der Sicherheitsforscher h4x0r_dz in einem Beitrag, der die Ergebnisse dokumentiert.

h4x0r dz, der das Problem auf dem Endpunkt „www.paypal[.]com/agreements/approved“ entdeckte, sagte, das Problem sei dem Unternehmen im Oktober 2021 gemeldet worden.

„Dieser Endpunkt ist für Abrechnungsvereinbarungen konzipiert und sollte nur billingAgreementToken akzeptieren“, erklärte der Forscher. „Aber während meiner eingehenden Tests habe ich herausgefunden, dass wir einen anderen Token-Typ weitergeben können, und dies führt dazu, dass Geld vom PayPal-Konto [eines] Opfers gestohlen wird.“

Dies bedeutet, dass ein Angreifer den oben genannten Endpunkt in einen Iframe einbetten könnte, wodurch ein Opfer, das bereits in einem Webbrowser angemeldet ist, einfach per Knopfdruck Geld auf ein vom Angreifer kontrolliertes PayPal-Konto überweist.

Noch besorgniserregender ist, dass der Angriff katastrophale Folgen in Online-Portalen haben könnte, die mit PayPal für Checkouts integriert sind und es dem böswilligen Akteur ermöglichen, beliebige Beträge von den PayPal-Konten der Benutzer abzubuchen.

„Es gibt Online-Dienste, mit denen Sie Ihrem Konto Guthaben mit PayPal hinzufügen können“, sagte h4x0r_dz. „Ich kann den gleichen Exploit verwenden und den Benutzer zwingen, meinem Konto Geld hinzuzufügen, oder ich kann diesen Fehler ausnutzen und das Opfer ein Netflix-Konto für mich erstellen/bezahlen lassen!“

(Aktualisierung: Die Geschichte wurde korrigiert, um zu erwähnen, dass der Fehler noch nicht gepatcht ist und dass der Sicherheitsforscher keine Prämie für den Fehler erhalten hat, um das Problem zu melden. Der Fehler wird bedauert. Wir haben uns auch an PayPal gewandt, um weitere Einzelheiten zu erfahren .)

 

Quelle: TheHackerNews

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.