PayPal heeft al een update voor zijn app gemaakt en ingediend bij de respectievelijke app stores. Gebruikers moeten die nieuwe, veilige versie zelf downloaden, meldt het aan de Wall Street Journal. Voor zover PayPal weet, is het gat niet misbruikt. Het belooft 100 procent fraudevergoeding.

Phishing

Het lek is een basale fout: de betalingsapp controleert niet of het certificaat van de PayPal-server wel valide is. Dit maakt het mogelijk om gebruikers om te leiden naar een nepsite om daarmee hun login-gegevens voor PayPal buit te maken. "Dit is echt een gigantische misser van PayPal", stelt hoofdonderzoeker Andrew Hoog van viaForensics, het bedrijf dat dit lek heeft ontdekt.

De Wall Street Journal meldt dat het ook mogelijk is om betalingstransacties af te luisteren en daarmee gebruikersnamen en wachtwoorden te onderscheppen. Volgens PayPal kan dit alleen onder zeldzame omstandigheden; via een onbeveiligd WiFi-netwerk waar een kwaadwillende dan ook net mee verbonden moet zijn. De mogelijkheid van phishing via nepsites ondergraaft die sussende mededeling echter.

Wachtwoordbeveiliging

Verder zou misbruik van dit lek alleen mogelijk zijn op de iPhone. Smartphones met Android zijn niet kwetsbaar. Toch heeft PayPal zijn app voor dat mobiele besturingssysteem ook bijgewerkt. Het is niet bekend wat de status is van de PayPal-app voor Blackberry.

Op de website is geen melding te vinden van de nieuwe versie en de noodzaak voor updaten. PayPal prijst daar wel de beveiliging van zijn mobiele apps aan met de medeling dat "iedere betaling wordt bevestigd met een wachtwoord".

De iPhone-app van PayPal is volgens het bedrijf zelf zo'n 4 miljoen keer gedownload sinds die app in april dit jaar is uitgebracht. De bijgewerkte versie (3.0.1) is al beschikbaar in de iTunes App Store. De online-betalingsdienst verwacht dat mobiele betalingen dit jaar in totaal zo'n 700 miljoen dollar bedragen.

Meer apps lek

Ondertussen blijken meer apps voor mobiel betalen lekken te bevatten. viaForensics heeft diverse apps onderzocht en daar gaten in ontdekt. Het gaat om de mobiele betalingsapplicaties van enkele grote Amerikaanse banken: Bank of America, USAA, Chase, Wells Fargo, TD Ameritrade en Vanguard. Diverse van die instituten hebben inmiddels update uitgebracht voor hun apps.

viaForensics heeft de banken ingelicht voordat het naar buiten trad met zijn ontdekkingen. "Sinds maandag (1 november 2010) communiceren we en werken we samen met de financiële instellingen om deze fouten te elimineren", meldt het bedrijf in een blogpost van gisteren. "De ontdekkingen die we hebben gepubliceerd, zijn de weerslag van tests die we op 3 november hebben afgerond." Het bedrijf zal de nieuwe versies van de apps ook gaan doorlichten.