eBay旗下的年交易金额高达6百亿美元的PayPal线上支付,日前传出安全性漏洞,PayPal目前正在抢修此漏洞,并计划在7月28日释出更新。同时,PayPal目前停止行动装置的双认证机制
eBay 旗下的PayPal线上支付日前传出安全性漏洞,PayPal目前正在抢修此漏洞,并计划在7月28日释出更新。同时,PayPal目前停止行动装置的双 认证机制(Two-factor Authentication,2FA)。PayPal目前年交易金额约600亿美元,使用人数达1.8亿人,目前这些用户都暂时无法使用手机双认证。
行动安全厂商Duo Security的研究员表示,该漏洞能够有效的绕过双认证机制的安全层,可以从行动装置或使用特殊设计的程式来进行攻击。
在3月时,有一独立研究员Dan Saltman发现一种方法可以绕过PayPal在苹果iOS行动装置下的双认证机制,但事后并未得到PayPal的回应。于是在4月,Dan Saltman请Duo Security协助重现这个安全问题 ,并且将漏洞回报给PayPal,Duo Security的研究员确认了Dan Saltman找到的漏洞后,同时也发现在Android装置上也有一样的问题。
双认证机制增加了另一层安全机制,当用户登入时多了一个回应的步骤,以确认是用户本人,即使有了用户帐号和密码,双认证机制可以预防未授权的登入。
PayPal表示,透过PayPal漏洞悬赏计划(PayPal Bug Bounty Program),在近期查觉到PayPal的双认证机制在行动装置上有潜藏的风险,不过PayPal强调,PayPal上的所有帐户是安全的。 PayPal对此漏洞也采取预防措施,目前已禁用双认证机制的登入选项
来源:ithome
责任编辑:天竺
via PayPal手机双认证制发现安全漏洞
没有评论:
发表评论