상세 컨텐츠

본문 제목

PayPal의 패치되지 않은 버그, 사용자의 자산 위험에 빠트려

국내외 보안동향

by 알약4 2022. 5. 24. 14:00

본문

New Unpatched Bug Could Let Attackers Steal Money from PayPal Users

 

한 보안 연구원이 PayPal의 송금 서비스에서 공격자가 피해자를 속여 단 한 번의 클릭으로 자신도 모르게 공격자 계획한 거래를 완료하도록 허용하는 취약점을 발견했다고 주장했습니다. 또한 해당 취약점은 패치되지 않은 상태라고 밝혔습니다.

 

클릭재킹(Clickjacking)은 피해자가 악성코드를 다운로드하거나, 악성 웹사이트로 이동시키거나, 민감 정보를 유출시키도록 속이기 위해 무심코 무해하게 생긴 웹 페이지의 요소를 클릭하도록 하는 기술을 말합니다.

 

이는 보통 표시되는 페이지 상단에 보이지 않는 페이지나 HTML 요소를 표시하는 방식으로 수행되며, 사용자가 합법적인 페이지의 콘텐츠를 클릭하면 실제로는 그 위에 겹쳐진 악성 요소를 클릭하게 됩니다.

 

보안 연구원인 h4x0r_dz는 해당 문제를 "www.paypal[.]com/agreements/approve" 엔드포인트에서 발견했으며 2021 10월에 회사에 제보했다고 밝혔습니다.

 

연구원은 이와 관련하여 아래와 같이 설명했습니다.

 

"이 엔드포인트는 청구 계약을 위해 설계되었으며, 오로지 billingAgreementToken만 수락해야 합니다."

 

"하지만 심층 테스트 결과 다른 토큰 유형이 전달 가능하다는 것을 발견했고, 이를 통해 [a] 피해자의 PayPal 계정에서 돈을 훔칠 수 있었습니다."

 

따라서 공격자가 앞서 언급한 엔드포인트를 iframe 내부에 삽입할 경우 웹 브라우저에 이미 로그인한 피해자가 버튼 클릭만으로 공격자의 ​​PayPal 계정으로 자금을 이체하도록 속일 수 있게 됩니다.

 

더욱 우려되는 점은, 이 공격이 결제를 위해 PayPal을 통합시킨 다른 온라인 포털에서 치명적인 결과를 초래할 수 있어 공격자가 사용자의 PayPal 계정에서 임의 금액을 가로챌 수 있다는 것입니다.

 

h4x0r_dz는 아래와 같이 설명했습니다.

 

"PayPal을 사용하여 계정에 잔액을 추가할 수 있는 온라인 서비스가 있습니다."

 

"동일한 익스플로잇을 통해 사용하여 다른 사용자가 내 계정에 돈을 보내도록 할 수 있습니다. 또는 이 버그를 악용하여 피해자가 나를 대신하여 넷플릭스 계정을 생성하고 비용을 지불하도록 할 수 있습니다."

 

 

 

 

출처:

https://thehackernews.com/2022/05/paypal-pays-hacker-200000-for.html

https://medium.com/@h4x0r_dz/vulnerability-in-paypal-worth-200000-bounty-attacker-can-steal-your-balance-by-one-click-2b358c1607cc

관련글 더보기

댓글 영역