Paypal y su error de doble factor de autenticación

el

Yo estoy convencido de que el uso del doble factor de autenticación es un elemento clave para asegurar las cuentas de los usuarios en los servicios en línea. De hecho lo recomiendo cada vez que puedo. Sin embargo estos sistemas no están exentos de ser mal implementados, como en efecto le ocurrió a Paypal. Tengo entendido que Paypal corrigió la debilidad, así que ya puedo hablar libremente de ella.

La falla

Los investigadores descubrieron que cuando un usuario de Paypal tenía habilitado el esquema de autenticación de doble factor en su cuenta e intentaba ingresar al servicio desde la aplicación móvil del iPhone, la cual (hasta este momento) no soporta este esquema de autenticación, y después de ingresar sus credenciales (usuario y contraseña), colocaban el dispositivo en modo avión, cortando abruptamente la transmisión de datos. La aplicación en el servidor no tomaba en cuenta la validación del doble factor, de esto modo al reactivar la señal del telefono, podían ingresar a su cuenta Paypal y realizar pagos.

¿Qué estuvo mal?

Básicamente estuvo muy mal confiar en la respuesta de la aplicación para controlar el estado de un parámetro que debe ser controlado por el servidor. Si la configuración del paramétro de doble factor de autentitación estaba establecido en “activado”, la aplicación en el servidor debe exigir que la aplicación cliente le responda con “activado” y el correspondiente “token” y no cambiar su comportamiento cuando recibe una respuesta de la aplicación cliente reclamando que su parámetro de doble autenticación es “desactivado”. – La validación siempre tiene que estar del lado del servidor, no del cliente.

Igualmente, si Paypal sabía que sus aplicaciones móviles no soportaban autenticación de doble factor, estuvo mal dejar que los usuarios utilizaran estas aplicaciones, cuando dichos usuarios tenían activado su esquema de doble factor de autenticación. Esto también se debe controlar desde el servidor. – Si un usuario tiene activado este esquema, simplemente se le debe indicar que no puede usar la aplicación móvil hasta que sea actualizada con el soporte adecuado del doble factor de autenticación y dar por terminada la conexión.

Situación actual

Paypal corrigió los errores en su aplicación y estableció los controles necesarios, los investigadores realizaron las correspondientes comprobaciones y los usuarios estan seguros.

Para los desarrolladores, la lección debe ser fuerte y clara: No deben dejarle la responsabilidad de validación de parámetros y variablea a las aplicaciones clientes. Las validaciones siempre deber ser realizadas del lado del servidor.

Las aplicaciones del lado del cliente siempre pueden ser intervenidas, interceptadas y modificadas en su comportamiento. Así lo hacen los hackers.

Te invito a hacer esta página un poco más interactiva. Si tienes alguna sugerencia, escribeme al correo: dabzueta AT gmail DOT com.

Sígueme en Twitter @dabzueta, Si deseas tener píldoras de noticias relacionadas con la seguridad de la información de forma diaria y al momento de producirse. Comparte este artículo en Facebook, Twitter, Google+ o Linkedin.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s