دور زدن احراز هویت دومرحله‌ ای PayPal

این محقق امنیتی  که Zach Lanier نام دارد، در هفته گذشته این روش را شناسایی کرده است. این در حالیست که شرکت PayPal، روشی معرفی کرده که به کاربر این امکان را می دهد تا برای ورود به حساب کاربری خود، یک کلمه عبور یک‌ بار مصرف ایجاد کند. ایجاد این کلمه عبور از طریق یک دستگاه مخصوص یا کدی است که به دستگاه تلفن همراه کاربران ارسال می‌شود. اما نرم‌افزارهای PayPal موجود برای iOS و اندروید، هنوز از سازوکار احراز هویت دومرحله‌ای پشتیبانی نمی‌کنند.

اگر کاربری که امکان احراز هویت دومرحله‌ای را برای حساب‌کاربری خود ایجاد کرده، و از طریق تلفن همراهش یک درخواست ورود به حساب‌کاربری (با پرچمی که نشان دهنده سازو‌کار احراز هویت دومرحله‌ای فعال است) را ارسال کند، اتفاقات عجیبی رخ خواهد داد.

 در این حالت نرم‌افزار موجود در iOS و اندروید به صورت خودکار از حساب کاربری خارج می‌شوند و یک پیغام خطا را نمایش می‌دهند، اما اگر کاربر در زمان ارسال درخواست ورود به حساب‌کاربری، تلفن همراه خود را در حالت پرواز هواپیما قرار دهد و از ارسال برخی اطلاعات به PayPal جلوگیری کند، نرم‌افزار احراز هویت دومرحله‌ای را نادیده می‌گیرد و امکان ورود به حساب‌کاربری را بدون کد ارسال‌شده به تلفن همراه فراهم می آورد. بنابراین سازو‌کار احراز هویت دومرحله‌ای به همین راحتی دور زده می‌شود.

شاید این مسئله، نکته‌ ساده‌ای باشد که مهندسان امنیت PayPal آن را نادیده گرفته‌اند، اما مشکل اینجاست که خدمات این شرکت، با بسیاری از نرم‌افزار‌ها و وب سایت ها در ارتباط است که رفع این مشکل را تا حد زیادی بسیار سخت می‌کند.