| 3 ноября 2010 г. — 15:32 PT
Хакеры из Wall St. Journal обнаружили уязвимость безопасности в iOS-версии приложения Paypal, которая позволяет хакеру, находящемуся между вашим iOS-устройством и серверами Paypal (скорее всего, в интернет-кафе), подделывать сертификаты безопасности Paypal. Приложение PayPal, что поразительно, не проверяет действительность этого сертификата.
Для использования уязвимости, которая затрагивает только пользователей iPhone-приложения, подключающихся через незащищенные сети Wi-Fi, потребуется навык и удача. Она не затрагивает Android-приложение компании или пользователей веб-сайта PayPal.com.
Довольно вопиющий недосмотр со стороны банковской компании, тем не менее. Вот как это происходит:
Уязвимость Paypal возникает из-за того, что приложение не проверяет цифровой сертификат сайта платежного сервиса. Такие сертификаты функционируют как электронные удостоверения личности, которые позволяют устройству пользователя узнать, что веб-сайт является легитимным. Без этого подтверждения искушенный хакер может встать электронным образом между пользователем и Paypal, притвориться веб-сайтом Paypal и собирать имена пользователей и пароли.
На практике это может означать настройку точки доступа Wi-Fi в Таймс-сквер и ожидание, пока кто-нибудь использует сеть для проведения транзакции Paypal через свое iPhone-приложение. Это была бы разведывательная вылазка, но необходимое оборудование и программное обеспечение обычно доступны.