PayPal zou een kritiek lek in de Android-app van de betaaldienst, waardoor kwaadwillenden kwetsbare Androidtoestellen kunnen overnemen, negeren omdat het toch geen risico voor het merk vormt, zo zou het bedrijf hebben laten weten tegenover de onderzoekers die het lek ontdekten.
De PayPal-app maakt het mogelijk om geld te ontvangen en te betalen. Het is echter mogelijk om via een man-in-the-middle-aanval, bijvoorbeeld als een Androidgebruiker van een onbeveiligd wifi-netwerk gebruik maakt, willekeurige code op het toestel uit te voeren. Het probleem wordt veroorzaakt doordat PayPal een WebView gebruikt dat de authenticiteit van SSL-certificaten negeert.
Een WebView is een browservenster dat ontwikkelaars aan hun apps kunnen toevoegen. Het maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven. Doordat de app ongeldige SSL-certificaten accepteert is het in combinatie met een andere bug in de app mogelijk om kwaadaardige code te injecteren.
Het probleem werd op 23 december vorig jaar aan PayPal gerapporteerd. Eind februari liet de betaaldienst weten dat het lek niet verholpen zou worden omdat er "geen risico voor het PayPal-merk was", zo claimen onderzoekers van MWR Labs die PayPal waarschuwden. Android-gebruikers krijgen het advies om de PayPal-app niet op open wifi-netwerken te gebruiken en naar Android 4.2 te upgraden, waar de problemen met WebView zijn opgelost.
Deze posting is gelocked. Reageren is niet meer mogelijk.