PayPal über Google Pay: Lücke noch immer nicht behoben!

Autor: Claudia Spiess

PayPal über Google Pay: Lücke noch immer nicht behoben!
PayPal über Google Pay: Lücke noch immer nicht behoben!

Die Sicherheitslücke, die es ermöglicht, unautorisierte Abbuchungen von PayPal via Google Pay durchzuführen, ist offensichtlich immer noch nicht gänzlich geschlossen.

PayPal über Google Pay: Lücke noch immer nicht behoben! – Das Wichtigste zu Beginn: Laut PayPal soll das Problem bereits behoben sein. Sicherheitsforscher fanden jedoch heraus, dass die Lücke immer noch besteht und noch leichter auszunutzen wäre, als bisher angenommen.

Unberechtigte Abbuchungen via PayPal

Bei PayPal-Nutzern, die ihr Konto mit Google Pay verknüpft haben, kam es zu unberechtigten Abbuchungen von ihren PayPal-Konten. Sicherheitsforscher Markus Fenske hatte bereits im Februar 2019 eine Sicherheitslücke entdeckt und gemeldet. Nun hat er weitere Details dazu veröffentlicht. Die Lücke scheint noch leichter auszunutzen zu sein, als bisher angenommen, und vor allem immer noch nicht gänzlich geschlossen zu sein.

[mk_ad]

PayPal habe in einem Statement behauptet, dass das Problem mit unberechtigten Abbuchungen behoben wurde. „Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen“, so PayPal. Den Betroffenen würden natürlich sämtliche nicht autorisierte Zahlungen zurückerstattet.
heise Security fragte nach, ob die Sicherheitslücke für dieses Problem verantwortlich war. Eine Antwort seitens PayPal blieb allerdings aus.

Virtuelle Kreditkarten als Lücke

Gemeinsam mit seinem Team konnte Fenske nun nachweisen, dass diese Lücke immer noch angreifbar sei und somit die Ursache für die Abbuchungen darstellen könnte. Über diese Lücke könnten Angreifer mittels NFC-Verfahren oder Brute-Force erbeutete virtuelle Kreditkarten für Online-Einkäufe verwenden.
Diese virtuellen Kreditkarten werden von PayPal immer dann automatisch generiert, wenn jemand auf dem Smartphone sein PayPal-Konto mit Google Pay verbindet.

Fenske teilte dazu neue Erkenntnisse mit. Sein Forscherteam fand heraus, dass „bei den virtuellen Kreditkarten, die PayPal zum Zwecke der Zahlungsabwicklung bereitstellt, außer der Kartennummer keine Parameter geprüft“ würden. Er ergänzt, „dass man nur ca. 100 Versuche braucht, um eine gültige Kreditkartennummer zu generieren, mit der man beliebig Geld von einem zufälligen PayPal-Account einziehen kann“.

„Wir gehen diesmal den Weg der full disclosure, um PayPal zu zwingen zu reagieren“, erklärte Markus Fenske die Veröffentlichung der Lücken-Details via Twitter.
Um PayPal nun endgültig zum Handeln zu zwingen, wurde außerdem die zuständige Bankenaufsicht in Luxemburg und das luxemburgische Finanzministerium informiert.

PayPal als Bezahlart bei Google Pay deaktivieren

Sicherheitsforscher Fenske rät dazu, vorsichtshalber die Verknüpfung zwischen PayPal und Google Pay zu lösen oder die Abbuchungsvereinbarung mit Google Pay zu beenden.
Dazu loggt man sich bei PayPal ein, klickt auf das Zahnrad und weiter auf „Zahlungen“. Hier wählt man „Zahlungen im Einzugsverfahren verwalten“ und kann dann laut PayPal die „neueste aktive Abbuchungsvereinbarung von Google, Inc.“ stornieren und somit deaktivieren. Hilfe erhält man auch über die Support-Hotline, die im Hilfecenter angeführt ist.

Google hat bereits reagiert

In Caschys Blog wird berichtet, dass Google auf den Vorfall reagiert habe. So soll hier zumindest aus einigen Google Pay-Konten das Hinzufügen von PayPal als Bezahlart nicht mehr möglich sein. Tests der Redaktion von heise online ergaben allerdings, dass dies nicht für alle Accounts zutrifft. So wurde der Redaktion selbst die Option der Verknüpfung noch angezeigt.

[mk_ad]

Passend zum Thema: Unberechtigte Abbuchungen via Google Pay

Quelle: heise online
Artikelbild: Mimikama
Unterstützen 🤍

FAKE NEWS BEKÄMPFEN

Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!

Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️

Mimikama-Webshop

Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.

Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.

Link: Mimikamas WhatsApp-Kanal

Mimikama WhatsApp-Kanal

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.


2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)


Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama

Mehr von Mimikama

Mimikama Workshops & Vorträge: Stark gegen Fake News!

Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.