漏洞公告团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 网络安全 > 漏洞公告 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

PayPal的Google Pay集成漏洞：可通过PayPal帐户进行未经授权的交易

文章来源：重庆网络安全围观次数：

分享到:

摘要：PayPal的Google Pay集成漏洞，可通过PayPal帐户进行未经授权的交易。

根据国外媒体ZDNet的报道，黑客最近发现PayPal的Google Pay集成存在漏洞，现在正使用它通过PayPal帐户执行未经授权的交易。自上周五以来，用户报告称，源自其Google Pay帐户的神秘交易突然出现在其PayPal历史中。

PayPal的Google Pay集成漏洞.png

受害者报告说，黑客滥用了Google Pay帐户，使用关联的PayPal帐户购买产品。根据屏幕截图和各种证词，大多数非法交易发生在美国商店，尤其是纽约各地的Target商店。大多数受害者似乎是德国使用者。

据公开报道，估计损失约为数万欧元，一些未经授权的交易远远超过了1000欧元。目前尚不清楚哪些黑客正在利用。PayPal告诉ZDNet，他们正在调查此问题。在这篇文章发表之前，谷歌发言人没有回复置评请求。

德国安全研究员Markus Fenske周一在Twitter上表示，周末报告的非法交易似乎与他和安全研究员Andreas Mayer在2019年2月向PayPal报告的漏洞相似，但PayPal没有优先考虑修复问题。

Fenske告诉ZDNet，他发现的漏洞源于以下事实：当用户将PayPal帐户链接到Google Pay帐户时，PayPal创建了具有自己的卡号，有效期和CVC的虚拟卡。当Google Pay用户选择使用其PayPal帐户中的资金进行非接触式付款时，交易将通过虚拟卡进行收费。

Fenske在一次采访中说：“如果您仅将虚拟卡锁定到POS交易中，就不会有问题，但是PayPal允许将虚拟卡用于在线交易。”Fenske现在认为，黑客已经找到一种方法来发现这些“虚拟卡”详细信息，以及在美国商店中用于未经授权交易的卡详细信息。

研究人员说，攻击者可以通过三种方式获取虚拟卡的详细信息。首先，从用户的手机/屏幕上读取卡的详细信息。其次，以编程方式，使用感染用户设备的恶意软件。第三，通过猜测。 Fenske说：“攻击者可以将卡号和有效期合并在一起，有效期约为一年。这使得搜索空间很小。”他补充说：“ CVC没关系。任何人都可以被接受。”

PayPal员工正在研究不同的问题-包括Fenske最近描述的攻击方案以及他的2019年2月漏洞报告。PayPal发言人告诉ZDNet：“客户帐户的安全是公司的重中之重。我们正在审查和评估此信息，并将采取任何必要的措施进一步保护我们的客户。”

本文由重庆网络安全整理发布,转载请保留出处，内容部分来自于互联网，如有侵权请联系我们删除。

上一篇： CVE-2020-1938：Apache AJP 协议漏洞，从环境搭建到修复建议详细分析
下一篇：不当输入验证漏洞：Snapchat网站，可用于通过短信向受害者的手机发送任意构造的文本或URL链接