Blogheim.at Logo
Montag, 24 Januar 2022

PayPal über Google Pay: Lücke noch immer nicht behoben!

Die Sicherheitslücke, die es ermöglicht, unautorisierte Abbuchungen von PayPal via Google Pay durchzuführen, ist offensichtlich immer noch nicht gänzlich geschlossen.

PayPal über Google Pay: Lücke noch immer nicht behoben! – Das Wichtigste zu Beginn: Laut PayPal soll das Problem bereits behoben sein. Sicherheitsforscher fanden jedoch heraus, dass die Lücke immer noch besteht und noch leichter auszunutzen wäre, als bisher angenommen.

Unberechtigte Abbuchungen via PayPal

Bei PayPal-Nutzern, die ihr Konto mit Google Pay verknüpft haben, kam es zu unberechtigten Abbuchungen von ihren PayPal-Konten. Sicherheitsforscher Markus Fenske hatte bereits im Februar 2019 eine Sicherheitslücke entdeckt und gemeldet. Nun hat er weitere Details dazu veröffentlicht. Die Lücke scheint noch leichter auszunutzen zu sein, als bisher angenommen, und vor allem immer noch nicht gänzlich geschlossen zu sein.

PayPal habe in einem Statement behauptet, dass das Problem mit unberechtigten Abbuchungen behoben wurde. „Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen“, so PayPal. Den Betroffenen würden natürlich sämtliche nicht autorisierte Zahlungen zurückerstattet.
heise Security fragte nach, ob die Sicherheitslücke für dieses Problem verantwortlich war. Eine Antwort seitens PayPal blieb allerdings aus.

Virtuelle Kreditkarten als Lücke

Gemeinsam mit seinem Team konnte Fenske nun nachweisen, dass diese Lücke immer noch angreifbar sei und somit die Ursache für die Abbuchungen darstellen könnte. Über diese Lücke könnten Angreifer mittels NFC-Verfahren oder Brute-Force erbeutete virtuelle Kreditkarten für Online-Einkäufe verwenden.
Diese virtuellen Kreditkarten werden von PayPal immer dann automatisch generiert, wenn jemand auf dem Smartphone sein PayPal-Konto mit Google Pay verbindet.

Fenske teilte dazu neue Erkenntnisse mit. Sein Forscherteam fand heraus, dass „bei den virtuellen Kreditkarten, die PayPal zum Zwecke der Zahlungsabwicklung bereitstellt, außer der Kartennummer keine Parameter geprüft“ würden. Er ergänzt, „dass man nur ca. 100 Versuche braucht, um eine gültige Kreditkartennummer zu generieren, mit der man beliebig Geld von einem zufälligen PayPal-Account einziehen kann“.

„Wir gehen diesmal den Weg der full disclosure, um PayPal zu zwingen zu reagieren“, erklärte Markus Fenske die Veröffentlichung der Lücken-Details via Twitter.
Um PayPal nun endgültig zum Handeln zu zwingen, wurde außerdem die zuständige Bankenaufsicht in Luxemburg und das luxemburgische Finanzministerium informiert.

PayPal als Bezahlart bei Google Pay deaktivieren

Sicherheitsforscher Fenske rät dazu, vorsichtshalber die Verknüpfung zwischen PayPal und Google Pay zu lösen oder die Abbuchungsvereinbarung mit Google Pay zu beenden.
Dazu loggt man sich bei PayPal ein, klickt auf das Zahnrad und weiter auf „Zahlungen“. Hier wählt man „Zahlungen im Einzugsverfahren verwalten“ und kann dann laut PayPal die „neueste aktive Abbuchungsvereinbarung von Google, Inc.“ stornieren und somit deaktivieren. Hilfe erhält man auch über die Support-Hotline, die im Hilfecenter angeführt ist.

Google hat bereits reagiert

In Caschys Blog wird berichtet, dass Google auf den Vorfall reagiert habe. So soll hier zumindest aus einigen Google Pay-Konten das Hinzufügen von PayPal als Bezahlart nicht mehr möglich sein. Tests der Redaktion von heise online ergaben allerdings, dass dies nicht für alle Accounts zutrifft. So wurde der Redaktion selbst die Option der Verknüpfung noch angezeigt.

Passend zum Thema: Unberechtigte Abbuchungen via Google Pay

Quelle: heise online
Artikelbild: Mimikama

Unterstützen

Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung! Überhaupt jetzt, denn wir verzichten ab sofort auf lästige Werbebanner, denn wir wollen nicht länger Sklaven der Werbeindustrie sein und diesen Zustand möchten wir bewusst aufrechterhalten. Dafür gibt es einen guten Grund. Dieser Grund nennt sich: Unabhängigkeit.


Exklusive Inhalte! Werde jetzt mimikamaPLUS- Abonnent und unterstütze so unser Handeln. Zusätzlich erhältst du exklusive Inhalte und die gesamte Webseite werbefrei.

Aktuelle Artikel

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.