Mobiele PayPal-app lek

iphone slot

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (2)
1x Aanbevolen

Gepubliceerd: Vrijdag 5 november 2010
Auteur: Jasper Bakker

De app van online-betalingsdienst PayPal heeft een groot gat, op zowel de iPhone als Android-toestellen. Het is niet de enige betalingsapp met een lek.

PayPal heeft al een update voor zijn app gemaakt en ingediend bij de respectievelijke app stores. Gebruikers moeten die nieuwe, veilige versie zelf downloaden, meldt het aan de Wall Street Journal. Voor zover PayPal weet, is het gat niet misbruikt. Het belooft 100 procent fraudevergoeding.

Phishing

Het lek is een basale fout: de betalingsapp controleert niet of het certificaat van de PayPal-server wel valide is. Dit maakt het mogelijk om gebruikers om te leiden naar een nepsite om daarmee hun login-gegevens voor PayPal buit te maken. "Dit is echt een gigantische misser van PayPal", stelt hoofdonderzoeker Andrew Hoog van viaForensics, het bedrijf dat dit lek heeft ontdekt.

De Wall Street Journal meldt dat het ook mogelijk is om betalingstransacties af te luisteren en daarmee gebruikersnamen en wachtwoorden te onderscheppen. Volgens PayPal kan dit alleen onder zeldzame omstandigheden; via een onbeveiligd WiFi-netwerk waar een kwaadwillende dan ook net mee verbonden moet zijn. De mogelijkheid van phishing via nepsites ondergraaft die sussende mededeling echter.

Wachtwoordbeveiliging

Verder zou misbruik van dit lek alleen mogelijk zijn op de iPhone. Smartphones met Android zijn niet kwetsbaar. Toch heeft PayPal zijn app voor dat mobiele besturingssysteem ook bijgewerkt. Het is niet bekend wat de status is van de PayPal-app voor Blackberry.

Op de website is geen melding te vinden van de nieuwe versie en de noodzaak voor updaten. PayPal prijst daar wel de beveiliging van zijn mobiele apps aan met de medeling dat "iedere betaling wordt bevestigd met een wachtwoord".

De iPhone-app van PayPal is volgens het bedrijf zelf zo'n 4 miljoen keer gedownload sinds die app in april dit jaar is uitgebracht. De bijgewerkte versie (3.0.1) is al beschikbaar in de iTunes App Store. De online-betalingsdienst verwacht dat mobiele betalingen dit jaar in totaal zo'n 700 miljoen dollar bedragen.

Meer apps lek

Ondertussen blijken meer apps voor mobiel betalen lekken te bevatten. viaForensics heeft diverse apps onderzocht en daar gaten in ontdekt. Het gaat om de mobiele betalingsapplicaties van enkele grote Amerikaanse banken: Bank of America, USAA, Chase, Wells Fargo, TD Ameritrade en Vanguard. Diverse van die instituten hebben inmiddels update uitgebracht voor hun apps.

viaForensics heeft de banken ingelicht voordat het naar buiten trad met zijn ontdekkingen. "Sinds maandag (1 november 2010) communiceren we en werken we samen met de financiële instellingen om deze fouten te elimineren", meldt het bedrijf in een blogpost van gisteren. "De ontdekkingen die we hebben gepubliceerd, zijn de weerslag van tests die we op 3 november hebben afgerond." Het bedrijf zal de nieuwe versies van de apps ook gaan doorlichten.

Relevante whitepapers

Alle whitepapers >>

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)