CERT-XMCO : Vulnérabilité critique dans l’application Paypal sur iPhone
novembre 2010 par CERT-XMCO
- Date : 05 Novembre 2010
- Gravité : Moyenne
- Description : Paypal vient de mettre à jour son application sur iPhone. Celle-ci souffrait d’une vulnérabilité critique.
La vulnérabilité a été découverte par viaForensics et permettrait plus précisément à un attaquant d’effectuer une attaque de type "Man-in-the-Middle". En effet, l’application ne vérifiait pas correctement le certificat SSL présenté par le site web de Paypal. Un attaquant pouvait intercepter les communications entre l’application et le site de Paypal en utilisant un faux certificat SSL. Aucun avertissement n’était alors affiché, et le pirate pouvait alors récupérer les identifiants de connexion du compte Paypal de sa victime.
L’application Paypal sur iPhone aurait été téléchargée plus de 4 millions de fois. Les utilisateurs concernés devraient mettre à jour leur version de l’application.
Cette vulnérabilité n’affecterait pas la version Android de l’application.
- Référence :
http://www.net-security.org/secworld.php?id=10102
http://www.zdnet.com/blog/security/security-holes-in-paypals-iphone-app/7670
- Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1534