Ein Sicherheitsforscher behauptet, eine ungepatchte Sicherheitslücke in PayPals Geldtransferdienst entdeckt zu haben, die es Angreifern ermöglichen könnte, Opfer unwissentlich dazu zu bringen, von Angreifern gesteuerte Transaktionen mit einem einzigen Klick abzuschließen.
Clickjacking, auch UI-Redressing genannt, bezeichnet eine Technik, bei der ahnungslose Nutzer dazu verleitet werden, auf scheinbar harmlose Webseitenelemente wie Schaltflächen zu klicken, mit dem Ziel, Malware herunterzuladen, auf bösartige Websites umzuleiten oder sensible Informationen preiszugeben.
Dies wird in der Regel dadurch erreicht, dass eine unsichtbare Seite oder ein unsichtbares HTML-Element über der sichtbaren Seite angezeigt wird, so dass die Nutzer/innen glauben, sie würden auf die legitime Seite klicken, während sie in Wirklichkeit auf das darüber liegende schädliche Element klicken.
Der Angreifer „entführt“ also Klicks, die für die legitime Seite bestimmt sind, und leitet sie auf eine andere Seite weiter, die wahrscheinlich zu einer anderen Anwendung, Domain oder beidem gehört“, schreibt der Sicherheitsforscher h4x0r_dz in einem Beitrag, in dem er seine Erkenntnisse dokumentiert.
h4x0r_dz, der das Problem am Endpunkt „www.paypal[.]com/agreements/approve“ entdeckte, sagte, dass das Problem dem Unternehmen im Oktober 2021 gemeldet wurde.
„Dieser Endpunkt ist für Billing Agreements gedacht und sollte nur billingAgreementToken akzeptieren“, erklärte der Forscher. „Bei meinen ausführlichen Tests habe ich jedoch festgestellt, dass wir einen anderen Token-Typ übergeben können, was dazu führt, dass Geld vom PayPal-Konto des Opfers gestohlen wird.
Das bedeutet, dass ein Angreifer den oben genannten Endpunkt in einen Iframe einbetten könnte, so dass ein bereits in einem Webbrowser eingeloggtes Opfer mit einem einfachen Mausklick Geld auf ein vom Angreifer kontrolliertes PayPal-Konto überweist.
Noch besorgniserregender ist, dass der Angriff bei Online-Portalen, die mit PayPal zusammenarbeiten, verheerende Folgen haben könnte, da der Angreifer dann beliebige Beträge von den PayPal-Konten der Nutzer/innen abbuchen könnte.
„Es gibt Online-Dienste, bei denen man mit PayPal Guthaben auf sein Konto laden kann“, sagte h4x0r_dz. „Ich kann denselben Exploit nutzen und den Nutzer zwingen, Geld auf mein Konto einzuzahlen, oder ich kann diesen Fehler ausnutzen und das Opfer ein Netflix-Konto für mich erstellen/bezahlen lassen!“
(Update: Der Artikel wurde korrigiert, um zu erwähnen, dass der Fehler immer noch nicht gepatcht ist und dass der Sicherheitsforscher kein Bug Bounty für das Melden des Problems erhalten hat. Wir bedauern den Fehler. Wir haben uns auch an PayPal gewandt, um weitere Details zu erfahren).