PayPal wieder durch Cross-Site-Scripting angreifbar
Der eBay gehörende Internetbezahldienst prüft Sucheingaben nicht und erlaubt Angreifern so, beliebigen JavaScript-Codes in den Browser des Benutzers einzuschleusen. Dadurch lassen sich Zugangsdaten entwenden.
- Christian Kirsch
Wie der 17-Jährige deutsche Schüler Robert Kugler auf der Mailingliste Full Disclosure beschreibt, ist der Bezahldienst PayPal mit einer simplen Cross-Site-Scripting-Attacke angreifbar. Kugler wollte dem Unternehmen den Fehler im Zusammenhang mit dessen offiziellem Bug-Bounty-Programm melden – es belohnt jedoch nur Teilnehmer, die mindestens 18 Jahre alt sind. Aus Verärgerung darüber publizierte er den Bug nun.
Die PayPal-Server prüfen Eingaben im Site-weiten Suchfeld offenbar nicht gründlich. Dadurch ist es möglich, in diesem Feld JavaScript-Code einzugeben, den der Server dann an den Browser schickt. Dieser führt den Code aus. Angreifer können solche XSS-Lücken (Cross-Site Scripting) nutzen, um beispielsweise Zugangsdaten abzugreifen. Zur Illustration reicht es,
"<SCRIPT>alert('Schon wieder XSS')</SCRIPT>
im Suchfeld einzugeben.
Vom eingeschleusten Code eines Angreifers bekommt der Anwender nichts mit, da in der Adresszeile des Browsers die korrekte PayPal-URL steht, und auch die Prüfung des SSL-Zertifikats keine Auffälligkeiten zeigt. Allerdings funktioniert der von Kugler beschriebene einfache Angriff nicht mit den Webkit-Browsern Safari und Chrome, die einen XSS-Filter enthalten. Auch der soll jedoch zu umgehen sein. Nutzer von Opera, Firefox und Internet Explorer sind durch die PayPal-Lücke in jedem Fall verwundbar. Die Mozilla-Entwickler arbeiten zwar an einem eigenen XSS-Filter, die Entwicklung scheint jedoch ins Stocken geraten zu sein.
Bereits im März 2012 war eine XSS-Lücke bei PayPal entdeckt worden, die sich durch unzulänglich gefilterte Benutzereingaben ausnutzen ließ. Damals wie heute wirbt das Unternehmen mit einem Zertifikat (PDF-Dokument) des TÜV Saarland als "Geprüftes Zahlungssystem". Es setzte im vergangenen Geschäftsjahr weltweit 1,5 Milliarden US-Dollar um.
Update 27.5.2013, 15:10: Robert Kugler hat heise security seine Mail-Korrespondenz mit PayPal vorgelegt, Daraus geht hervor, dass die Firma eine Woche Zeit hatte, die LĂĽcke zu schlieĂźen. Sie lehnte nicht nur eine Zahlung fĂĽr die Entdeckung des Bugs ab, sondern ignorierte auch Kuglers Wunsch, wenigstens als Entdecker anerkannt zu werden. Auch der Umweg ĂĽber das Konto seines Vaters wurde von PayPal nicht akzeptiert. (ck)