Según reporta Netcraft, compañía que brinda servicios de seguridad en Internet, un investigador finlandés descubrió una vulnerabilidad del tipo Cross-Site-Scripting (XSS) en PayPal.com, que permite a un atacante agregar su propio contenido al sitio, y de ese modo robar las credenciales de los usuarios que accedan a él.

PayPal.com, el popular sitio de pagos vía Internet, es una de las primeras compañías que adoptó certificados EV (Extended Validation o Validación Extendida). Internet Explorer, desde su versión 7, Firefox y Opera, incluyen soporte para los mismos. Cuando los sitios EV presentan el certificado, la barra de direcciones del navegador se muestra en verde.

Harry Sintonen, quien descubrió la vulnerabilidad, afirma que la cuestión es muy crítica, porque “fácilmente se pueden robar las credenciales de los usuarios,” a pesar de que la dirección visitada comienza con HTTPS: (que indica un protocolo seguro).

Durante años hemos estado alertando que al visitar un sitio de transacciones comerciales, se prestara atención a ese detalle. El mismo PayPal insiste con ello en su página, para evitar que los usuarios sean estafados por sitios falsos. Sin embargo, en este caso, el sitio es el original, la dirección es segura, se muestra como segura, y así debería serlo.

La vulnerabilidad es más grave que otras similares, por el hecho de que las páginas afectadas utilizan una extensión de la validación SSL, y además, gracias a los certificados EV, la barra de direcciones permanece verde, lo que indica que el sitio y su contenido es seguro, y pertenece a PayPal, lo que hace que los visitantes no sospechen nada

El problema es que mediante la vulnerabilidad descubierta, aún estando en la página original, alguien podría robar toda nuestra información cuando hacemos alguna transacción.

Si bien los certificados SSL proporcionan un gran nivel de fiabilidad cuando se trata de confirmar la propiedad del sitio, no pueden garantizar que un sitio esté libre de otros problemas de seguridad, incluyendo un Cross-Site-Scripting como en este caso. Este tipo de fallo, permite eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios.

Existe la preocupación de que los atacantes pueden aprovechar este malentendido en la importancia de la barra de direcciones de color verde para su propio beneficio, desacreditando la confianza inculcada por los certificados de Validación Extendida, tecnología anti-phishing fuertemente defendida por PayPal, tanto como para desaconsejar el uso de navegadores que no la soportan.

La vulnerabilidad viene a la luz, apenas un mes después que PayPal publicara en su blog, un enfoque práctico para la gestión del “phishing”, que ensalza como medida de prevención, el uso de estos certificados. Allí, PayPal describe a los navegadores que no soportan certificados EV como “inseguros”, anunciando además que bloqueará el acceso al sitio a los mismos.

Los usuarios deben ser conscientes de que ahora, una barra de direcciones de color verde, o un protocolo HTTPS, no garantiza el origen del contenido de una página si existe una vulnerabilidad como la ahora reportada.

Al momento de publicarse esta noticia, no hay comentarios de PayPal sobre este tema.

FUENTE