據(jù)The Hacker News消息，昵稱為h4x0r_dz的安全研究人員在支付巨頭PayPal的匯款服務(wù)中發(fā)現(xiàn)了一個未修補(bǔ)的大漏洞，可允許攻擊者竊取用戶賬戶中的資金。其攻擊原理是利用點(diǎn)擊劫持技術(shù)誘導(dǎo)用戶進(jìn)行點(diǎn)擊，在不知不覺中完成交易，最終達(dá)到竊取資金的目的。

所謂點(diǎn)擊劫持技術(shù)，指的是不知情的用戶被誘騙點(diǎn)擊看似無害的網(wǎng)頁元素(如按鈕)，目的是下載惡意軟件、重定向到惡意網(wǎng)站或泄露敏感信息。

而在PayPal的漏洞中，這個技術(shù)被用來完成交易。黑客利用了不可見的覆蓋頁面或顯示在可見頁面頂部的HTML元素。在點(diǎn)擊合法頁面時，用戶實(shí)際上是在點(diǎn)擊由攻擊者控制的覆蓋合法內(nèi)容的惡意元素。

2021年10月，h4x0r_dz向PayPal報(bào)告了這一漏洞，證明攻擊者可以通過利用 Clickjacking 竊取用戶的資金。

h4x0r_dz是在專為計(jì)費(fèi)協(xié)議設(shè)計(jì)的“www.paypal[.]com/agreements/approve”端點(diǎn)上發(fā)現(xiàn)了該漏洞。他表示，“按照邏輯，這個端點(diǎn)應(yīng)只接受 billingAgreementToken，但在深入測試后發(fā)現(xiàn)并非如此，我們可以通過另一種令牌類型完成，這讓攻擊者有機(jī)會從受害者的 PayPal 賬戶中竊取資金?！?/p>

這意味著攻擊者可以將上述端點(diǎn)嵌入到iframe中，如下圖所示，此時已經(jīng)登錄Web瀏覽器的受害者點(diǎn)擊頁面的任何地方，就會自動向攻擊者所控制的PayPal 帳戶付款。

更令人擔(dān)憂的是，這次攻擊可能會對和PayPal集成進(jìn)行結(jié)賬的在線門戶網(wǎng)站造成災(zāi)難性后果，從而使攻擊者能夠從用戶的PayPal賬戶中扣除任意金額。

h4x0r_dz在社交平臺上發(fā)布的帖子寫到，“有一些在線服務(wù)可以讓你使用 PayPal 將余額添加到你的帳戶中，我可以使用相同的漏洞并強(qiáng)迫用戶向我的帳戶充值，或者我可以利用此漏洞讓受害者為我創(chuàng)建/支付 Netflix帳戶?！?/p>

目前，有安全專家表示，該漏洞尚未完成修復(fù)工作，用戶應(yīng)保持足夠的警惕。