Un chercheur en sécurité a révélé les détails d’une attaque de détournement de clic démontrée contre PayPal qui pourrait être exploitée pour voler les soldes des comptes des victimes en un seul clic.
Le détournement de clic, également appelé Correction de l’interface utilisateurfait référence à une technique dans laquelle un utilisateur involontaire est amené à cliquer sur des éléments de page Web apparemment inoffensifs, tels que des boutons, dans le but de télécharger des logiciels malveillants, de rediriger vers des sites Web malveillants ou de divulguer des informations sensibles.
Ceci est généralement réalisé en affichant une page invisible ou un élément HTML au-dessus de la page visible, ce qui donne lieu à un scénario dans lequel les utilisateurs sont trompés en pensant qu’ils cliquent sur la page légitime alors qu’ils cliquent en fait sur l’élément malveillant superposé.
« Ainsi, l’attaquant ‘détourne’ les clics destinés à [the legitimate] page et en les acheminant vers une autre page, très probablement détenue par une autre application, un autre domaine ou les deux », chercheur en sécurité h4x0r_dz a écrit dans un article documentant les résultats.
https://www.youtube.com/watch?v=OPAJ049YZIs
h4x0r_dz, qui a découvert le problème sur le « www.paypal[.]com/agreements/approve », a reçu une prime de 200 000 $ pour avoir découvert et signalé le problème en octobre 2021.
« Ce point de terminaison est conçu pour les accords de facturation et il ne devrait accepter que billingAgreementToken », a expliqué le chercheur. « Mais lors de mes tests approfondis, j’ai découvert que nous pouvions transmettre un autre type de jeton, ce qui conduit à voler de l’argent à [a] compte PayPal de la victime. »
Cela signifie qu’un adversaire pourrait intégrer le point final susmentionné à l’intérieur d’un iframeobligeant une victime déjà connectée à un navigateur Web à transférer des fonds vers un compte PayPal contrôlé par un attaquant simplement en cliquant sur un bouton.
Plus inquiétant encore, l’attaque aurait pu avoir des conséquences désastreuses sur les portails en ligne qui s’intègrent à PayPal pour les paiements, permettant à l’acteur malveillant de déduire des montants arbitraires des comptes PayPal des utilisateurs.
« Il existe des services en ligne qui vous permettent d’ajouter un solde en utilisant PayPal à votre compte », a déclaré h4x0r_dz. « Je peux utiliser le même exploit et forcer l’utilisateur à ajouter de l’argent sur mon compte, ou je peux exploiter ce bug et laisser la victime créer/payer un compte Netflix pour moi ! »