(PayPal)貝寶打亂來填補(bǔ)兩因素身份驗(yàn)證的缺陷-灰鴿子使用教程,遠(yuǎn)程控制軟件

admin

(PayPal)貝寶打亂來填補(bǔ)兩因素身份驗(yàn)證的缺陷-灰鴿子使用教程,遠(yuǎn)程控制軟件
全球支付巨頭貝寶目前修補(bǔ)其系統(tǒng)安全研究人員兩人安全顯示雙重認(rèn)證保護(hù)用戶帳號(hào)很容易繞過。
雙因素身份驗(yàn)證(2 fa)又增加了一層安全通過引入一個(gè)挑戰(zhàn)和登錄時(shí)反應(yīng)步驟。正確設(shè)置,2足總可以防止未授權(quán)登錄,即使用戶名和密碼已經(jīng)被抓獲。
繞過貝寶的2 fa系統(tǒng)為研究人員是微不足道的。偶然發(fā)現(xiàn)由丹尼爾·布雷克索特曼發(fā)現(xiàn),如果他使他的iPhone飛行模式在正確的時(shí)刻,他可以繞過2足總需求和訪問自己的帳戶。灰鴿子下載
兩人安全的實(shí)驗(yàn)室研究團(tuán)隊(duì)發(fā)現(xiàn),身份驗(yàn)證流在貝寶的web服務(wù)的應(yīng)用程序編程接口不執(zhí)行2 fa在所有情況下。
漏洞是在貝寶的移動(dòng)客戶蘋果的iOS和谷歌的Android操作系統(tǒng)。這些不支持2 fa,研究人員發(fā)現(xiàn),他們可以完全忽略了它,提供完整的貝寶賬戶的訪問權(quán)限已經(jīng)啟用了安全措施。

通過捕獲和分析移動(dòng)支付貝寶客戶機(jī)和處理器之間的交通網(wǎng)路,研究人員發(fā)現(xiàn),一個(gè)簡單的屬性都是,防止移動(dòng)客戶端進(jìn)行登錄。
如果2 fa_enabled屬性發(fā)送回服務(wù)器從移動(dòng)客戶端從“true”更改為“false”,可以充分利用用戶的PayPal賬戶,作為2足總請(qǐng)求被忽略。
研究人員也能夠?qū)懸粋�(gè)自釀的貝寶客戶端在Python中,在其他方面使他們與mobileclient.paypal.com API認(rèn)證后寄錢。
貝寶已經(jīng)被研究人員通知,并將在臨時(shí)措施來防止安全漏洞被利用,根據(jù)兩人的實(shí)驗(yàn)室。一個(gè)完整的,永久修復(fù)預(yù)計(jì)7月28日。
盡管漏洞,兩人針對(duì)實(shí)驗(yàn)室首席技術(shù)官喬恩Oberheide警告用戶不使用。遠(yuǎn)程控制軟件
(貝寶安全漏洞)意味著你應(yīng)該避免使雙重在網(wǎng)絡(luò)上嗎?灰鴿子工作室
沒門!而實(shí)現(xiàn)缺陷可能會(huì)限制這樣的功效在一些特定的情況下,正確實(shí)施2 fa安全最有效的技術(shù)之一是你的賬戶,所以應(yīng)用大方!
貝寶發(fā)言人iTnews提交給官方聲明的全球倡議主任阿納亞爾,誰說客戶帳戶仍然是安全的,盡管2 fa研究者發(fā)現(xiàn)的缺陷。
他說貝寶已經(jīng)采取了預(yù)防措施,禁用的能力為客戶提供啟用登錄自己的賬戶在Paypal的手機(jī)應(yīng)用程序。
灰鴿子遠(yuǎn)控。這些客戶將不得不使用貝寶移動(dòng)網(wǎng)站登錄,問題得到解決。
納亞爾說貝寶不取決于2 fa僅僅保持賬戶的安全性,并利用廣泛的欺詐風(fēng)險(xiǎn)檢測(cè)模型和專用的安全團(tuán)隊(duì)從欺詐性交易保證顧客的安全。
今年早些時(shí)候貝寶的母公司eBay遭受了大規(guī)模數(shù)據(jù)泄露了未知的攻擊者捕獲員工登錄和訪問用戶數(shù)據(jù)的密碼和電子郵件地址等。
貝寶不受破壞的時(shí)候,公司要求約1.45億客戶更改密碼的事件。