|
|
(PayPal)貝寶打亂來填補兩因素身份驗證的缺陷-灰鴿子使用教程,遠程控制軟件
全球支付巨頭貝寶目前修補其系統安全研究人員兩人安全顯示雙重認證保護用戶帳號很容易繞過。
雙因素身份驗證(2 fa)又增加了一層安全通過引入一個挑戰和登錄時反應步驟。正確設置,2足總可以防止未授權登錄,即使用戶名和密碼已經被抓獲。
繞過貝寶的2 fa系統為研究人員是微不足道的。偶然發現由丹尼爾·布雷克索特曼發現,如果他使他的iPhone飛行模式在正確的時刻,他可以繞過2足總需求和訪問自己的帳戶。灰鴿子下載
兩人安全的實驗室研究團隊發現,身份驗證流在貝寶的web服務的應用程序編程接口不執行2 fa在所有情況下。
漏洞是在貝寶的移動客戶蘋果的iOS和谷歌的Android操作系統。這些不支持2 fa,研究人員發現,他們可以完全忽略了它,提供完整的貝寶賬戶的訪問權限已經啟用了安全措施。
1.jpg (241.48 KB, 下載次數: 492)
下載附件
2014-6-30 09:04 上傳
通過捕獲和分析移動支付貝寶客戶機和處理器之間的交通網路,研究人員發現,一個簡單的屬性都是,防止移動客戶端進行登錄。
如果2 fa_enabled屬性發送回服務器從移動客戶端從“true”更改為“false”,可以充分利用用戶的PayPal賬戶,作為2足總請求被忽略。
研究人員也能夠寫一個自釀的貝寶客戶端在Python中,在其他方面使他們與mobileclient.paypal.com API認證后寄錢。
貝寶已經被研究人員通知,并將在臨時措施來防止安全漏洞被利用,根據兩人的實驗室。一個完整的,永久修復預計7月28日。
盡管漏洞,兩人針對實驗室首席技術官喬恩Oberheide警告用戶不使用。遠程控制軟件
(貝寶安全漏洞)意味著你應該避免使雙重在網絡上嗎?灰鴿子工作室
沒門!而實現缺陷可能會限制這樣的功效在一些特定的情況下,正確實施2 fa安全最有效的技術之一是你的賬戶,所以應用大方!
貝寶發言人iTnews提交給官方聲明的全球倡議主任阿納亞爾,誰說客戶帳戶仍然是安全的,盡管2 fa研究者發現的缺陷。
他說貝寶已經采取了預防措施,禁用的能力為客戶提供啟用登錄自己的賬戶在Paypal的手機應用程序。
灰鴿子遠控。這些客戶將不得不使用貝寶移動網站登錄,問題得到解決。
納亞爾說貝寶不取決于2 fa僅僅保持賬戶的安全性,并利用廣泛的欺詐風險檢測模型和專用的安全團隊從欺詐性交易保證顧客的安全。
今年早些時候貝寶的母公司eBay遭受了大規模數據泄露了未知的攻擊者捕獲員工登錄和訪問用戶數據的密碼和電子郵件地址等。
貝寶不受破壞的時候,公司要求約1.45億客戶更改密碼的事件。
|
|
加載中...
發表于 2014-6-30 09:05:32
QQ好友和群
收藏
發表于 2014-6-30 09:05:36