Bir güvenlik araştırmacısı, PayPal’ın para transfer hizmetinde, saldırganların kurbanları kandırarak tek bir tıklamayla saldırgan tarafından yönlendirilen işlemleri bilmeden tamamlamasına olanak tanıyan yamalanmamış bir güvenlik açığı keşfettiğini iddia ediyor.
UI düzeltme olarak da adlandırılan tıklama hırsızlığı, farkında olmayan bir kullanıcının kötü amaçlı yazılım indirmek, kötü amaçlı web sitelerine yeniden yönlendirmek veya hassas bilgileri ifşa etmek amacıyla düğmeler gibi görünüşte zararsız web sayfası öğelerini tıklaması için kandırıldığı bir tekniğe atıfta bulunur.
Bu genellikle, görünür sayfanın üstünde görünmez bir sayfa veya HTML öğesi görüntülenerek elde edilir ve bu da, kullanıcıların, aslında üstte yer alan hileli öğeyi tıkladıklarında meşru sayfayı tıkladıklarını düşünmelerine aldandıkları bir senaryoyla sonuçlanır.
“Böylece saldırgan, amaçlanan tıklamaları ‘kaçırıyor’ [the legitimate] güvenlik araştırmacısı h4x0r_dz, bulguları belgeleyen bir gönderide yazdı ve büyük olasılıkla başka bir uygulamaya, alana veya her ikisine ait olan başka bir sayfaya yönlendirdi.
“www.paypal’da sorunu keşfeden h4x0r_dz[.]com/agreements/approve” uç noktası, sorunun şirkete Ekim 2021’de bildirildiğini söyledi.
Araştırmacı, “Bu uç nokta, Fatura Sözleşmeleri için tasarlanmıştır ve yalnızca billingAgreementToken’ı kabul etmelidir” dedi. “Ancak derin testlerim sırasında, başka bir jeton türünü geçebileceğimizi buldum ve bu, [a] kurbanın PayPal hesabı.”
Bu, bir saldırganın yukarıda bahsedilen uç noktayı bir iframe içine gömebileceği ve bir web tarayıcısında oturum açmış olan bir kurbanın sadece bir düğmeye tıklayarak saldırgan tarafından kontrol edilen bir PayPal hesabına para transfer etmesine neden olabileceği anlamına gelir.
Daha da önemlisi, saldırı, ödemeler için PayPal ile entegre olan ve kötü niyetli aktörün kullanıcıların PayPal hesaplarından keyfi miktarlar kesmesine olanak tanıyan çevrimiçi portallarda feci sonuçlara yol açabilirdi.
h4x0r_dz, “PayPal kullanarak hesabınıza bakiye eklemenize izin veren çevrimiçi hizmetler var” dedi. “Aynı istismarı kullanabilir ve kullanıcıyı hesabıma para eklemeye zorlayabilirim veya bu hatadan yararlanabilir ve kurbanın benim için Netflix hesabı oluşturmasına/ödemesine izin verebilirim!”
(Güncelleme: Hatanın hala yamalanmadığını ve güvenlik araştırmacısına sorunu bildirdiği için herhangi bir hata ödülü verilmediğini belirtmek için hikaye düzeltildi. Hatadan dolayı üzgünüz. Daha fazla ayrıntı için PayPal ile de iletişime geçtik.)