Aktuelles

PayPal über Google Pay: Lücke noch immer nicht behoben!

Claudia Spiess, 27. Februar 2020
PayPal über Google Pay: Lücke noch immer nicht behoben!
PayPal über Google Pay: Lücke noch immer nicht behoben!

Die Sicherheitslücke, die es ermöglicht, unautorisierte Abbuchungen von PayPal via Google Pay durchzuführen, ist offensichtlich immer noch nicht gänzlich geschlossen.

PayPal über Google Pay: Lücke noch immer nicht behoben! – Das Wichtigste zu Beginn: Laut PayPal soll das Problem bereits behoben sein. Sicherheitsforscher fanden jedoch heraus, dass die Lücke immer noch besteht und noch leichter auszunutzen wäre, als bisher angenommen.

Unberechtigte Abbuchungen via PayPal

Bei PayPal-Nutzern, die ihr Konto mit Google Pay verknüpft haben, kam es zu unberechtigten Abbuchungen von ihren PayPal-Konten. Sicherheitsforscher Markus Fenske hatte bereits im Februar 2019 eine Sicherheitslücke entdeckt und gemeldet. Nun hat er weitere Details dazu veröffentlicht. Die Lücke scheint noch leichter auszunutzen zu sein, als bisher angenommen, und vor allem immer noch nicht gänzlich geschlossen zu sein.

[mk_ad]

PayPal habe in einem Statement behauptet, dass das Problem mit unberechtigten Abbuchungen behoben wurde. „Betroffen war eine sehr geringe Anzahl von PayPal-Kunden, die Google Pay nutzen“, so PayPal. Den Betroffenen würden natürlich sämtliche nicht autorisierte Zahlungen zurückerstattet.
heise Security fragte nach, ob die Sicherheitslücke für dieses Problem verantwortlich war. Eine Antwort seitens PayPal blieb allerdings aus.

Virtuelle Kreditkarten als Lücke

Gemeinsam mit seinem Team konnte Fenske nun nachweisen, dass diese Lücke immer noch angreifbar sei und somit die Ursache für die Abbuchungen darstellen könnte. Über diese Lücke könnten Angreifer mittels NFC-Verfahren oder Brute-Force erbeutete virtuelle Kreditkarten für Online-Einkäufe verwenden.
Diese virtuellen Kreditkarten werden von PayPal immer dann automatisch generiert, wenn jemand auf dem Smartphone sein PayPal-Konto mit Google Pay verbindet.

Fenske teilte dazu neue Erkenntnisse mit. Sein Forscherteam fand heraus, dass „bei den virtuellen Kreditkarten, die PayPal zum Zwecke der Zahlungsabwicklung bereitstellt, außer der Kartennummer keine Parameter geprüft“ würden. Er ergänzt, „dass man nur ca. 100 Versuche braucht, um eine gültige Kreditkartennummer zu generieren, mit der man beliebig Geld von einem zufälligen PayPal-Account einziehen kann“.

„Wir gehen diesmal den Weg der full disclosure, um PayPal zu zwingen zu reagieren“, erklärte Markus Fenske die Veröffentlichung der Lücken-Details via Twitter.
Um PayPal nun endgültig zum Handeln zu zwingen, wurde außerdem die zuständige Bankenaufsicht in Luxemburg und das luxemburgische Finanzministerium informiert.

PayPal als Bezahlart bei Google Pay deaktivieren

Sicherheitsforscher Fenske rät dazu, vorsichtshalber die Verknüpfung zwischen PayPal und Google Pay zu lösen oder die Abbuchungsvereinbarung mit Google Pay zu beenden.
Dazu loggt man sich bei PayPal ein, klickt auf das Zahnrad und weiter auf „Zahlungen“. Hier wählt man „Zahlungen im Einzugsverfahren verwalten“ und kann dann laut PayPal die „neueste aktive Abbuchungsvereinbarung von Google, Inc.“ stornieren und somit deaktivieren. Hilfe erhält man auch über die Support-Hotline, die im Hilfecenter angeführt ist.

Google hat bereits reagiert

In Caschys Blog wird berichtet, dass Google auf den Vorfall reagiert habe. So soll hier zumindest aus einigen Google Pay-Konten das Hinzufügen von PayPal als Bezahlart nicht mehr möglich sein. Tests der Redaktion von heise online ergaben allerdings, dass dies nicht für alle Accounts zutrifft. So wurde der Redaktion selbst die Option der Verknüpfung noch angezeigt.

[mk_ad]

Passend zum Thema: Unberechtigte Abbuchungen via Google Pay

Quelle: heise online
Artikelbild: Mimikama


Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel