PayPal の未パッチ脆弱性:クリック・ジャックの一撃で現金が盗まれる

New Unpatched Bug Could Let Attackers Steal Money from PayPal Users

2022/05/23 TheHackerNews — あるセキュリティ研究者が、PayPal 送金サービスに存在する、パッチが適用されていない脆弱性を発見したと主張している。この脆弱性を悪用する攻撃者が被害者を騙して、攻撃者が指示した取引を1回のクリックで完了させる可能性があると述べている。

クリック・ジャックは、UI リドレス (UI Redressing) とも呼ばれ、マルウェアのダウンロードや、悪意の Web サイトへのリダイレクト、機密情報の開示を目的としている。具体的には、ボタンなどの一見無害な Web ページ要素を、無意識のユーザーがクリックするよう仕向けるテクニックを指している。

このような Web ページ要素は、目に見えるページの上に、目に見えないページや HTML 要素を表示することで実現されるのが一般である。その結果として、ユーザーは正規のページをクリックしているように錯覚し、実際には、その上に重なった不正な要素をクリックしていることになる。

セキュリティ研究者の h4x0r_dz は、この発見を文書化した投稿の中で、「このように、攻撃者は、正規のページに対するクリックを [ハイジャック] し、別のアプリケーション/ドメインが所有する可能性が高い、別のページに転送している」と述べている。


http://www.paypal[.]com/agreements/approve のエンドポイントで、この問題を発見した h4x0r_dz は、この問題は 2021年10月に PayPal に報告されたと述べている。彼は、「このエンドポイントは Billing Agreements 用に設計されており、billingAgreementToken のみを受け入れるはずだ。しかし、私のテストにおいて、別のトークンタイプを渡すことができ、それにより PayPal アカウントから、金を盗めることが分かった」と述べている。

つまり、前述のエンドポイントを、脅威アクターが iframe 内に埋め込み、Web ブラウザに既にログインしている被害者にボタンをクリックするだけで、脅威アクターが管理する PayPal アカウントに送金させられることを意味する。

さらに懸念されるのは、この攻撃は、チェックアウトのために PayPal と統合されているオンライン・ポータルで、脅威アクターがユーザーの PayPal アカウントから、任意の金額を引き落とすという、悲惨な結果を招く可能性がある点だ。

h4x0r_dz は、「PayPal を利用する際の残高を、アカウントに追加できるオンライン・サービスがある。そこで、この脆弱性を悪用すれば、自身のアカウントに対して、被害者の現金を追加させることや、被害者に Netflix のアカウントを、自身のために作成させ料金を支払わせることもできる」と述べている。

見えない Web をクリックさせる、クリック・ジャックは怖いですね。しかも、この PayPal のケースでは、連携するオンライン・ポータルまで影響が及び、不正な送金が簡単に実行されてしまうようです。お気をつけください・・・

%d bloggers like this: