A vulnerabilidade permite que um atacante possa redirecionar a conexão de uma vítima através de seu computador, podendo injetar um certificado falso, sem que a aplicação emita um alarme referente ao ataque. Isso permitiria que um atacante pudesse ver os detalhes de login de uma vítima, através de um texto simples. Da mesma forma que ataques de phishing, a vulnerabilidade pode ser explorada para realizar ataques sofisticados man-in-the-middle (quando um atacante escuta dois interlocutores se comunicando e forja as informações a fim de fazer-se passar por uma das partes). Os navegadores modernos geralmente alertam os utilizadores quando um certificado apresenta algum problema - a verificação correta dos certificados SSL é um elemento fundamental para garantir a transferência de dados on-line.
O ataque sobre o aplicativo PayPal funciona apenas em redes públicas (não seguras) Wi-Fi ou redes Wi-Fi em que todos os usuários utilizam a mesma. Andrew Hoog, chefe do departamento de análise do viaForensics, descreveu o bug como um "descuido colossal" da parte do PayPal. Havia sido feita a correção do erro na terça-feira, e o PayPal apresentou a versão corrigida (3.0.1) à Apple App Store.
Saiba Mais:
[1] Wall Street Journal: http://online.wsj.com/article/SB1000...874885808.html
[2] ViaForensics: http://viaforensics.com/