Google Pay: Paypal wusste seit einem Jahr von Sicherheitslücke

Eine Sicherheitsfirma hat im Februar 2019 ein Sicherheitsproblem im Zusammenspiel von Google Pay und Paypal gefunden und an Paypal gemeldet. Jetzt wird das Problem offenbar von Kriminellen ausgenutzt.

Artikel veröffentlicht am ,
Das war nicht nötig: Nutzern von Google Pay in Kombination mit Paypal wurde Geld abgebucht, dabei wusste Paypal seit einem Jahr von den Problemen.
Das war nicht nötig: Nutzern von Google Pay in Kombination mit Paypal wurde Geld abgebucht, dabei wusste Paypal seit einem Jahr von den Problemen. (Bild: ERIC PIERMONT/AFP via Getty Images)

Einige Nutzer, die Google Pay mit Paypal als Zahlungsmethode verwendeten, berichten seit einigen Tagen über unerklärliche Abbuchungen von ihren Paypal-Konten. Jetzt meldet sich eine Sicherheitsfirma und behauptet, das Problem dahinter zu kennen und dies bereits vor einem Jahr an Paypal gemeldet zu haben.

Stellenmarkt
  1. IT Consultant / Projektleiter Warenwirtschaft (m/w/d) Anwendungs- und Organisationsberatung ... (m/w/d)
    Infokom GmbH, deutschlandweit
  2. IT Systemadministrator (m/w/d)
    EKF-Diagnostic GmbH, Barleben
Detailsuche

Das Problem tritt den Berichten zufolge ausschließlich bei Nutzern auf, die ihr Google-Pay-Konto mit Paypal verknüpft haben. Damit ist auch eine kontaktlose Zahlung möglich.

Virtuelle Kreditkarten mit Schwachstellen

Nach unserem ersten Bericht meldete sich Markus Fenske von der Firma Exablue bei Golem.de. Demnach funktioniert die Zahlung über Google Pay so, dass Paypal eine virtuelle Kreditkarte bereitstellt. Mit dieser kann Google Pay kontaktlose Zahlungsvorgänge via NFC durchführen. Bei der Umsetzung hat Paypal aber zwei Fehler gemacht, die das System verwundbar machen.

Zum einen sind die virtuellen Kreditkarten nicht nur für kontaktlose NFC-Zahlungen freigeschaltet, sondern auch für Onlinezahlungsvorgänge. Bei anderen Systemen, die ebenfalls virtuelle Kreditkarten für Zahlungsvorgänge nutzen, sind diese nur für kontaktlose Zahlungen freigeschaltet und andere Zahlungsarten sind gesperrt.

Golem Akademie
  1. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    16.–17. Dezember 2021, virtuell
Weitere IT-Trainings

Ein weiteres Problem macht die ganze Sache fatal: Paypal prüft bei Zahlungsvorgängen weder den Namen noch die CVC-Prüfnummer der virtuellen Kreditkarte. Exablue hatte demnach eine Zahlung mit dem Namen John Doe und einer CVC von 000 bei einem Testaccount durchgeführt.

Ein Angreifer kann nun Folgendes tun: Zunächst liest er mittels NFC die Kreditkartennummer eines Opfers aus. Dafür muss er sich in Reichweite des Smartphones eines Nutzers von Google Pay mit Paypal befinden und das Telefon muss entsperrt und der Bildschirm angeschaltet sein. Die Kreditkartennummer und das Ablaufdatum lassen sich dabei einfach mit jedem NFC-fähigen Lesegerät auslesen, man muss nur nahe genug am Gerät des angegriffenen Nutzers sein.

Damit hat der Angreifer alle Informationen, die er für einen Zahlungsvorgang benötigt. Die Kreditkartennummer und das Ablaufdatum hat er ausgelesen, der Name und die CVC-Prüfnummer werden nicht geprüft.

Verschiedene Angriffsszenarien denkbar

Markus Fenske sagte Golem.de, dass Exablue nicht sicher ist, ob der Angriff genau so abgelaufen ist. Es wäre auch denkbar, dass die Angreifer die Kreditkartennummern schlicht geraten haben. Die ersten acht Stellen sind bei allen virtuellen Karten gleich, die letzte Ziffer ist eine Prüfziffer, daher bleiben sieben Stellen übrig. Dazu kommen 17 mögliche Ablaufdaten, da es das System noch nicht allzu lange gibt.

Insgesamt gibt es damit 170 Millionen mögliche Kombinationen von Kreditkartennummern und Ablaufdaten. Wie wahrscheinlich ein Raten von gültigen Nummern ist, hängt davon ab, wie viele Nutzer insgesamt die Kombination von Google Pay und Paypal nutzen, es erscheint aber durchaus plausibel.

Unabhängig davon, welche der beiden Angriffsmethoden hier real verwendet wurde: Beide Angriffe wären nicht mehr so trivial möglich, wenn Paypal die CVC-Nummern und Namen prüfen würde oder wenn die Karten nicht für Onlinebezahlvorgänge freigeschaltet wären.

Paypal wollte Problem zunächst nicht anerkennen

Andreas Mayer von Exablue hatte dieses Problem im Februar 2019 entdeckt an Paypal über dessen Bugbounty-Programm bei Hackerone gemeldet. Zunächst bestritt Paypal, dass es sich um eine echte Sicherheitslücke handelt. Nach einiger Überzeugungsarbeit und nachdem Exablue Paypal den Angriff in einem Video gezeigt hat, erkannte man den Bericht jedoch an.

Exablue erhielt für seinen Bericht anschließend einen Bugbounty von 4.400 US-Dollar von Paypal. Doch behoben wurde das Problem trotz mehrfacher Nachfragen von Exablue nicht. Die Firma bestätigte Golem.de, dass sie den Angriff heute erneut ausprobiert hat und er weiterhin möglich ist.

Wir haben Paypal um eine Stellungnahme zu dem Vorfall gebeten. Bisher haben wir keine Antwort erhalten.

Nachtrag vom 25. Februar 2020, 16:46 Uhr

Laut einer Meldung der Deutschen Presse-Agentur, die von verschiedenen Medien aufgegriffen wurde, behauptet Paypal, dass das Problem inzwischen behoben worden sei. Die Entdecker der Lücke von der Firma Exablue bestätigten jedoch auf Nachfrage, dass sie das Problem weiterhin ausnutzen könnten. Exablue postete auf Twitter einen Screenshot einer Zahlung, die nach der angeblichen Problembehebung durch Paypal mit einer ausgelesenen virtuellen Kreditkarte durchgeführt worden sei.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


treysis 02. Mär 2020

Deine ebenso wenig, wenn du hier immer noch von der angeblich so großen Gefahr durch...

Gole-mAndI 26. Feb 2020

Hast du jemals in deinem Leben eine Kreditkarte gesehen? Oder jemals Online Banking...

treysis 26. Feb 2020

Ja, und unterstützt immer noch die AfD und Pegida.

Sukram71 26. Feb 2020

Warum denkt Paypal nicht selbst an sowas? Ist das ne Garagenfirma von Teenagern?

treysis 25. Feb 2020

Eben: nur aktiviert, aber niemals damit bezahlt. Also zumindest nicht über irgendein...



Aktuell auf der Startseite von Golem.de
Pornhub, Youporn, Mydirtyhobby
Gericht bestätigt Zugangsverbot für Pornoportale

Die Landesmedienanstalt NRW hat zu Recht gegen drei Pornoportale mit Sitz in Zypern ein Zugangsverbot verhängt.

Pornhub, Youporn, Mydirtyhobby: Gericht bestätigt Zugangsverbot für Pornoportale
Artikel
  1. Zip: Ratenzahlung in Microsoft Edge empört die Community
    Zip
    Ratenzahlung in Microsoft Edge empört die Community

    Die App Zip wird seit Microsoft Edge 96 standardmäßig aktiviert. Diese bietet Ratenzahlung an, schürt aber nur Hass in der Community.

  2. Kompakter Einstieg in die Netzwerktechnik
     
    Kompakter Einstieg in die Netzwerktechnik

    Die Golem Akademie bietet Admins und IT-Sicherheitsbeauftragten in einem Fünf-Tage-Workshop einen umfassenden Überblick über Netzwerktechnologien und -konzepte.
    Sponsored Post von Golem Akademie

  3. Razer Zephyr im Test: Gesichtsmaske mit Stil bringt nicht viel
    Razer Zephyr im Test
    Gesichtsmaske mit Stil bringt nicht viel

    Einmal Cyberpunk mit Beleuchtung bitte: Tragen wir Razers Zephyr in der U-Bahn, fallen wir auf. Allerdings ist das Produkt nicht ausgereift.
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Last Minute Angebote bei Amazon • Crucial-RAM zu Bestpreisen (u. a. 16GB Kit DDR4-3600 73,99€) • HP 27" FHD 165Hz 199,90€ • Razer Iskur X Gaming-Stuhl 239,99€ • Adventskalender bei MM/Saturn (u. a. Surface Pro 7+ 849€) • Alternate (u. a. Adata 1TB PCIe-4.0-SSD für 129,90€) [Werbung]
    •  /