Seorang peneliti keamanan mengklaim telah menemukan kerentanan yang belum ditambal dalam layanan transfer uang PayPal yang memungkinkan penyerang mengelabui korban agar tanpa sadar menyelesaikan transaksi yang diarahkan penyerang dengan satu klik.
Clickjacking, juga disebut UI redressing, mengacu pada teknik di mana pengguna tanpa disadari ditipu untuk mengklik elemen halaman web yang tampaknya tidak berbahaya seperti tombol dengan tujuan mengunduh malware, mengarahkan ulang ke situs web jahat, atau mengungkapkan informasi sensitif.
Ini biasanya dicapai dengan menampilkan halaman yang tidak terlihat atau elemen HTML di atas halaman yang terlihat, menghasilkan skenario di mana pengguna tertipu dengan berpikir bahwa mereka mengklik halaman yang sah padahal mereka sebenarnya mengklik elemen jahat yang dihamparkan di atasnya.
“Dengan demikian, penyerang ‘membajak’ klik yang dimaksudkan untuk halaman [yang sah] dan mengarahkannya ke halaman lain, kemungkinan besar dimiliki oleh aplikasi lain, domain, atau keduanya,” tulis peneliti keamanan h4x0r_dz dalam sebuah posting yang mendokumentasikan temuan tersebut.
h4x0r_dz, yang menemukan masalah ini di titik akhir “www.paypal[.]com/agreements/approve”, mengatakan masalah itu dilaporkan ke perusahaan pada Oktober 2021.
“Titik akhir ini dirancang untuk Perjanjian Penagihan dan seharusnya hanya menerima billingAgreementToken,” peneliti menjelaskan. “Tetapi selama pengujian mendalam saya, saya menemukan bahwa kami dapat melewati jenis token lain, dan ini mengarah pada pencurian uang dari akun PayPal korban.”
Ini berarti bahwa musuh dapat menyematkan titik akhir yang disebutkan di dalam iframe, menyebabkan korban yang sudah masuk ke browser web untuk mentransfer dana ke akun PayPal yang dikendalikan penyerang hanya dengan mengklik tombol.
Yang lebih memprihatinkan, serangan itu bisa memiliki konsekuensi bencana di portal online yang terintegrasi dengan PayPal untuk checkout, memungkinkan pelaku jahat untuk mengurangi jumlah sewenang-wenang dari akun PayPal pengguna.
“Ada layanan online yang memungkinkan Anda menambahkan saldo menggunakan PayPal ke akun Anda,” kata h4x0r_dz. “Saya dapat menggunakan exploit yang sama dan memaksa pengguna untuk menambahkan uang ke akun saya, atau saya dapat mengeksploitasi bug ini dan membiarkan korban membuat/membayar akun Netflix untuk saya!”
(Pembaruan: Cerita telah diperbaiki untuk menyebutkan bahwa bug tersebut masih belum ditambal dan bahwa peneliti keamanan tidak diberikan hadiah bug apa pun untuk melaporkan masalah tersebut. Kesalahan ini disesalkan. Kami juga telah menghubungi PayPal untuk detail lebih lanjut.)
Sumber: The Hacker News