• IT-Karriere:
  • Services:

Google Pay: Paypal wusste seit einem Jahr von Sicherheitslücke

Eine Sicherheitsfirma hat im Februar 2019 ein Sicherheitsproblem im Zusammenspiel von Google Pay und Paypal gefunden und an Paypal gemeldet. Jetzt wird das Problem offenbar von Kriminellen ausgenutzt.

Artikel veröffentlicht am ,
Das war nicht nötig: Nutzern von Google Pay in Kombination mit Paypal wurde Geld abgebucht, dabei wusste Paypal seit einem Jahr von den Problemen.
Das war nicht nötig: Nutzern von Google Pay in Kombination mit Paypal wurde Geld abgebucht, dabei wusste Paypal seit einem Jahr von den Problemen. (Bild: ERIC PIERMONT/AFP via Getty Images)

Einige Nutzer, die Google Pay mit Paypal als Zahlungsmethode verwendeten, berichten seit einigen Tagen über unerklärliche Abbuchungen von ihren Paypal-Konten. Jetzt meldet sich eine Sicherheitsfirma und behauptet, das Problem dahinter zu kennen und dies bereits vor einem Jahr an Paypal gemeldet zu haben.

Stellenmarkt
  1. Hottgenroth Software GmbH & Co. KG, Köln
  2. Hays AG, Coburg

Das Problem tritt den Berichten zufolge ausschließlich bei Nutzern auf, die ihr Google-Pay-Konto mit Paypal verknüpft haben. Damit ist auch eine kontaktlose Zahlung möglich.

Virtuelle Kreditkarten mit Schwachstellen

Nach unserem ersten Bericht meldete sich Markus Fenske von der Firma Exablue bei Golem.de. Demnach funktioniert die Zahlung über Google Pay so, dass Paypal eine virtuelle Kreditkarte bereitstellt. Mit dieser kann Google Pay kontaktlose Zahlungsvorgänge via NFC durchführen. Bei der Umsetzung hat Paypal aber zwei Fehler gemacht, die das System verwundbar machen.

Zum einen sind die virtuellen Kreditkarten nicht nur für kontaktlose NFC-Zahlungen freigeschaltet, sondern auch für Onlinezahlungsvorgänge. Bei anderen Systemen, die ebenfalls virtuelle Kreditkarten für Zahlungsvorgänge nutzen, sind diese nur für kontaktlose Zahlungen freigeschaltet und andere Zahlungsarten sind gesperrt.

Ein weiteres Problem macht die ganze Sache fatal: Paypal prüft bei Zahlungsvorgängen weder den Namen noch die CVC-Prüfnummer der virtuellen Kreditkarte. Exablue hatte demnach eine Zahlung mit dem Namen John Doe und einer CVC von 000 bei einem Testaccount durchgeführt.

Ein Angreifer kann nun Folgendes tun: Zunächst liest er mittels NFC die Kreditkartennummer eines Opfers aus. Dafür muss er sich in Reichweite des Smartphones eines Nutzers von Google Pay mit Paypal befinden und das Telefon muss entsperrt und der Bildschirm angeschaltet sein. Die Kreditkartennummer und das Ablaufdatum lassen sich dabei einfach mit jedem NFC-fähigen Lesegerät auslesen, man muss nur nahe genug am Gerät des angegriffenen Nutzers sein.

Damit hat der Angreifer alle Informationen, die er für einen Zahlungsvorgang benötigt. Die Kreditkartennummer und das Ablaufdatum hat er ausgelesen, der Name und die CVC-Prüfnummer werden nicht geprüft.

Verschiedene Angriffsszenarien denkbar

Markus Fenske sagte Golem.de, dass Exablue nicht sicher ist, ob der Angriff genau so abgelaufen ist. Es wäre auch denkbar, dass die Angreifer die Kreditkartennummern schlicht geraten haben. Die ersten acht Stellen sind bei allen virtuellen Karten gleich, die letzte Ziffer ist eine Prüfziffer, daher bleiben sieben Stellen übrig. Dazu kommen 17 mögliche Ablaufdaten, da es das System noch nicht allzu lange gibt.

Insgesamt gibt es damit 170 Millionen mögliche Kombinationen von Kreditkartennummern und Ablaufdaten. Wie wahrscheinlich ein Raten von gültigen Nummern ist, hängt davon ab, wie viele Nutzer insgesamt die Kombination von Google Pay und Paypal nutzen, es erscheint aber durchaus plausibel.

Unabhängig davon, welche der beiden Angriffsmethoden hier real verwendet wurde: Beide Angriffe wären nicht mehr so trivial möglich, wenn Paypal die CVC-Nummern und Namen prüfen würde oder wenn die Karten nicht für Onlinebezahlvorgänge freigeschaltet wären.

Paypal wollte Problem zunächst nicht anerkennen

Andreas Mayer von Exablue hatte dieses Problem im Februar 2019 entdeckt an Paypal über dessen Bugbounty-Programm bei Hackerone gemeldet. Zunächst bestritt Paypal, dass es sich um eine echte Sicherheitslücke handelt. Nach einiger Überzeugungsarbeit und nachdem Exablue Paypal den Angriff in einem Video gezeigt hat, erkannte man den Bericht jedoch an.

Exablue erhielt für seinen Bericht anschließend einen Bugbounty von 4.400 US-Dollar von Paypal. Doch behoben wurde das Problem trotz mehrfacher Nachfragen von Exablue nicht. Die Firma bestätigte Golem.de, dass sie den Angriff heute erneut ausprobiert hat und er weiterhin möglich ist.

Wir haben Paypal um eine Stellungnahme zu dem Vorfall gebeten. Bisher haben wir keine Antwort erhalten.

Nachtrag vom 25. Februar 2020, 16:46 Uhr

Laut einer Meldung der Deutschen Presse-Agentur, die von verschiedenen Medien aufgegriffen wurde, behauptet Paypal, dass das Problem inzwischen behoben worden sei. Die Entdecker der Lücke von der Firma Exablue bestätigten jedoch auf Nachfrage, dass sie das Problem weiterhin ausnutzen könnten. Exablue postete auf Twitter einen Screenshot einer Zahlung, die nach der angeblichen Problembehebung durch Paypal mit einer ausgelesenen virtuellen Kreditkarte durchgeführt worden sei.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

treysis 02. Mär 2020 / Themenstart

Deine ebenso wenig, wenn du hier immer noch von der angeblich so großen Gefahr durch...

Gole-mAndI 26. Feb 2020 / Themenstart

Hast du jemals in deinem Leben eine Kreditkarte gesehen? Oder jemals Online Banking...

treysis 26. Feb 2020 / Themenstart

Ja, und unterstützt immer noch die AfD und Pegida.

Sukram71 26. Feb 2020 / Themenstart

Warum denkt Paypal nicht selbst an sowas? Ist das ne Garagenfirma von Teenagern?

treysis 25. Feb 2020 / Themenstart

Eben: nur aktiviert, aber niemals damit bezahlt. Also zumindest nicht über irgendein...

Kommentieren


Folgen Sie uns
       


Kuschelroboter Lovot angesehen (CES 2020)

Lovot ist ein kleiner Roboter, der bei seinem Besitzer für gute Stimmung sorgen soll. Er lässt sich streicheln und reagiert mit freudigen Geräuschen.

Kuschelroboter Lovot angesehen (CES 2020) Video aufrufen
Streaming: Zehn besondere Serien für die Zeit der Isolation
Streaming
Zehn besondere Serien für die Zeit der Isolation

Kein Kino, kein Fitnessstudio, kein Theater, keine Bars, kein gar nix. Das Coronavirus hat das Land (und die Welt) lahmgelegt, so dass viele nun zu Hause sitzen: Zeit für Serien-Streaming.
Eine Rezension von Peter Osteried

  1. Videostreaming Fox kauft Tubi für 440 Millionen US-Dollar
  2. Musikindustrie in Deutschland Mehr Umsatz dank Audiostreaming
  3. Besuch bei Justwatch Größte Streaming-Suchmaschine ohne echte Konkurrenz

Coronakrise: Hardware-Industrie auf dem Weg der Besserung
Coronakrise
Hardware-Industrie auf dem Weg der Besserung

Fast alle Fabriken für Hardware laufen wieder - trotz verlängertem Chinese New Year. Bei Launches und Lieferengpässen sieht es anders aus.
Ein Bericht von Marc Sauter

  1. Kaufberatung (2020) Die richtige CPU und Grafikkarte
  2. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen

Schenker Via 14 im Test: Leipziger Langläufer-Laptop
Schenker Via 14 im Test
Leipziger Langläufer-Laptop

Dank 73-Wattstunden-Akku hält das 14-Zoll-Ultrabook von Schenker trotz fast komplett aufrüstbarer Hardware lange durch.
Ein Test von Marc Sauter

  1. XMG Neo 15 (E20) Schenker erhöht Akkukapazität um 50 Prozent
  2. XMG Apex 15 Schenker packt 16C-Ryzen in Notebook
  3. XMG Fusion 15 Schenkers Gaming-Laptop soll 10 Stunden durchhalten

    •  /