ИТ-специалист Адитья К. Суд обнаружил уязвимость в PayPal, позволяющую злоумышленникам встраивать в страницы платежей вредоносные картинки. За это от компании он получил вознаграждение в $1000.
Проблему Суд выявил еще зимой, однако PayPal отчиталась об успешном устранении проблемы только сейчас. Исследователь заметил, что URL платежных страниц PayPal, которые могут создавать пользователи, подержит параметр «image_url». Этот параметр может содержать ссылку, указывающую на изображение, хранящееся на удаленном хостинге.
Фактически это позволяло хакерам использовать сторонние платежные страницы PayPal для доставки вредоносных картинок. Суд продемонстрировал баг, отобразив на платежной странице стороннего вендора произвольное изображение. То есть для эксплуатации уязвимости злоумышленнику было достаточно заставить неавторизованного пользователя кликнуть по специально подготовленной ссылке. Так как URL в данном случае указывает на paypal.com, у жертвы вряд ли возникли бы сомнения.
Картинки нередко используются для сокрытия малвари. К примеру, такую технику демострирует малварь Neverquest, шпионская программа Stegoloader или бразильский троян, который весной обнаружили эксперты «Лаборатории Касперского».
Данное решение небезопасно, так как PayPal позволял удаленным пользователями осуществлять инжекты собственных изображений в компоненты, которые используются клиентами для осуществления транзакций.
Проблему Суд выявил еще зимой, однако PayPal отчиталась об успешном устранении проблемы только сейчас. Исследователь заметил, что URL платежных страниц PayPal, которые могут создавать пользователи, подержит параметр «image_url». Этот параметр может содержать ссылку, указывающую на изображение, хранящееся на удаленном хостинге.
Фактически это позволяло хакерам использовать сторонние платежные страницы PayPal для доставки вредоносных картинок. Суд продемонстрировал баг, отобразив на платежной странице стороннего вендора произвольное изображение. То есть для эксплуатации уязвимости злоумышленнику было достаточно заставить неавторизованного пользователя кликнуть по специально подготовленной ссылке. Так как URL в данном случае указывает на paypal.com, у жертвы вряд ли возникли бы сомнения.
Картинки нередко используются для сокрытия малвари. К примеру, такую технику демострирует малварь Neverquest, шпионская программа Stegoloader или бразильский троян, который весной обнаружили эксперты «Лаборатории Касперского».
Данное решение небезопасно, так как PayPal позволял удаленным пользователями осуществлять инжекты собственных изображений в компоненты, которые используются клиентами для осуществления транзакций.