La falla afecta a la aplicación iOS del servicio.
iOS es un sistema operativo móvil de Apple. Originalmente desarrollado para el iPhone (iPhone OS), siendo después usado en dispositivos como el iPod Touch, iPad y el Apple TV. La interfaz de usuario de iOS está basada en el concepto de manipulación directa, usando gestos multitáctiles. Los elementos de control consisten de deslizadores, interruptores y botones. La respuesta a las órdenes del usuario es inmediata y provee de una interfaz fluida. La interacción con el sistema operativo incluye gestos como deslices, toques, pellizcos, los cuales tienen definiciones diferentes dependiendo del contexto de la interfaz. Se utilizan acelerometros internos para hacer que algunas aplicaciones respondan a sacudir el dispositivo (por ejemplo, para el comando deshacer) o rotarlo en tres dimensiones (un resultado común es cambiar de modo vertical al apaisado u horizontal). iOS se deriva de Mac OS X, que a su vez está basado en Darwin BSD, y por lo tanto es un sistema operativo Unix.
El investigador de seguridad, Benjamin Kunz Mejri, publicó el descubrimiento de una falla en el procedimiento de autenticación de la API de PayPal para iOS, permitiendo que un usuario acceda a una cuenta anteriormente bloqueada.
Cuando un usuario trata de entrar a una cuenta con el password equivocado, la cuenta se bloquea temporalmente después de cierto número de intentos para evitar ataques de fuerza bruta. A pesar de este bloqueo, si el usuario ingresa el usuario y contraseña correctos desde la aplicación para iOS, se le otorgará el acceso sin verificar la suspensión. Esto lo demuestra Kunz Mejri en su video.
Si bien este primer ejemplo pareciera no tener importancia alguna, cabe mencionar que PayPal también puede bloquear cuentas por actividades sospechosas para evitar que un estafador tenga acceso a dinero obtenido de manera ilegal. En este caso, el estafador podría entrar a su cuenta a través de la app para iOS y sacar su dinero sin importar el bloqueo.
Kunz Mejri descubrió la falla hace un año y la notificó a PayPal, pero al no recibir respuesta alguna y ver que el problema no había sido solucionado, decidió publicarla. El investigador comenta que las versiones afectadas de la aplicación para iOS son la 4.6.0 y la más reciente, 5.8.
Fuente: Fayerwayer.