บริษัทด้านความปลอดภัย MWR InfoSecurity ได้ปล่อยรายละเอียดช่องโหว่บนแอพพลิเคชั่น PayPal บนแอนดรอยด์ ซึ่งทำให้ผู้โจมตีสามารถสั่งรันคำสั่งอันตรายได้จากระยะไกลผ่านทางช่องโหว่ man-in-the-middle ช่องโหว่นี้ยังคงมีอยู่ในแอพพลิเคชั่นที่มีเวอร์ชันน้อยกว่า 5.3 และบนแอนดรอยด์เวอร์ชันน้อยกว่า 4.2

ในรายละเอียดที่ถูกปล่อยมานั้นกล่าวว่า ปัญหาของช่องโหว่นี้เกิดจาก PayPal มีการใช้ WebView เพื่อตรวจสอบใบอนุญาต SSL แต่ยังมีการทำงานต่อแม้ว่าจะตรวจเจอข้อผิดพลาดของใบอนุญาต SSL แทนที่จะทำการแสดงข้อความผิดพลาดหรือปิดการเชื่อมต่อนั้นทิ้งไป (CVE-2013-7201) อีกทั้งยังมีการอิมพลีเมนต์จาวาสคริปต์อินเตอร์เฟสใน WebView ซึ่งจะทำให้สั่งรันคำสั่งต่างๆ ได้ด้วย (CVE-2013-7202)

ทาง PayPal ปฏิเสธที่จะจ่ายเงินตามโปรแกรม Bug Bounty ให้เนื่องจากปัญหา SSL ไม่ได้อยู่ในขอบเขตของโปรแกรมนี้ แม้ว่าทาง MWR จะมีการส่งรายละเอียดของช่องโหว่หรือแม้กระทั่งวีดิโอที่มีการทำ PoC ไปแล้ว แต่ทาง PayPal อ้างว่าไม่มีผลกระทบต่อแบรนด์ของ PayPal

สำหรับการป้องกันการโจมตีผ่านทางช่องโหว่นี้นั้น แนะนำให้ผู้ใช้งานทำการอัพเดตแอพเป็นเวอร์ชันล่าสุด (5.4) โดยด่วนครับ

ที่มา - MWR Labs