Estoy tratando de entender la lógica detrás de la siguiente vulnerabilidad, creo que esto es un error de diseño, no solo una implementación.
Para mí, el problema con el servicio de autenticación de dos factores en PayPal es que el servidor no distingue entre la solicitud de autenticación que proviene de la aplicación móvil y la aplicación web. Por esa razón, cuando el servidor deshabilita la autenticación de dos factores basada en la solicitud de la aplicación móvil, se deshabilitó para la cuenta del usuario y no solo para la aplicación móvil del usuario. ¿Mi interpretación es correcta?
Vulnerabilidad de PayPal
Publicación: Vulnerabilidad de PayPal
Estado: Publicado
Descripción de la vulnerabilidad: Recientemente se informó que las medidas de seguridad de autenticación de dos factores de Paypal se pueden omitir. La vulnerabilidad o falla se relaciona con la forma en que el flujo de autenticación de PayPals funciona con los servicios de aplicaciones móviles para iOS y Android. PayPal les brinda a los usuarios la posibilidad de utilizar la autenticación de dos factores en una variedad de formas, cada una de las cuales crea un código de acceso único para el inicio de sesión. Los formularios de dos factores están disponibles para ser utilizados en el sitio web oficial de PayPal, pero no son compatibles con las aplicaciones móviles de PayPal. Así es como funcionó: Cuando los servidores de PayPal respondieron a una solicitud POST enviada desde la aplicación móvil para una cuenta habilitada de dos factores. La aplicación mostraría un mensaje de error que indicaba que el factor doble del usuario estaba habilitado y no era compatible, inicialmente enviando al usuario de nuevo al inicio de sesión. Pero cuando el valor en la respuesta del servidor con respecto a la autenticación de dos factores se cambia a "falso", la aplicación simplemente permitiría al usuario ingresar a la cuenta, omitiendo todas las formas de protección de dos factores.