Google Pay: Paypal wusste seit einem Jahr von Sicherheitslücke

Eine Sicherheitsfirma hat im Februar 2019 ein Sicherheitsproblem im Zusammenspiel von Google Pay und Paypal gefunden und an Paypal gemeldet. Jetzt wird das Problem offenbar von Kriminellen ausgenutzt.

Artikel veröffentlicht am ,
Das war nicht nötig: Nutzern von Google Pay in Kombination mit Paypal wurde Geld abgebucht, dabei wusste Paypal seit einem Jahr von den Problemen.
Das war nicht nötig: Nutzern von Google Pay in Kombination mit Paypal wurde Geld abgebucht, dabei wusste Paypal seit einem Jahr von den Problemen. (Bild: ERIC PIERMONT/AFP via Getty Images)

Einige Nutzer, die Google Pay mit Paypal als Zahlungsmethode verwendeten, berichten seit einigen Tagen über unerklärliche Abbuchungen von ihren Paypal-Konten. Jetzt meldet sich eine Sicherheitsfirma und behauptet, das Problem dahinter zu kennen und dies bereits vor einem Jahr an Paypal gemeldet zu haben.

Stellenmarkt
  1. IT-Consultant (m/w/d) ECM/DMS
    Tönnies Business Solutions GmbH, Rheda-Wiedenbrück
  2. Softwareentwickler C#/C++ für Medizingeräte (m/w/d)
    STORZ MEDICAL Deutschland GmbH, Jena
Detailsuche

Das Problem tritt den Berichten zufolge ausschließlich bei Nutzern auf, die ihr Google-Pay-Konto mit Paypal verknüpft haben. Damit ist auch eine kontaktlose Zahlung möglich.

Virtuelle Kreditkarten mit Schwachstellen

Nach unserem ersten Bericht meldete sich Markus Fenske von der Firma Exablue bei Golem.de. Demnach funktioniert die Zahlung über Google Pay so, dass Paypal eine virtuelle Kreditkarte bereitstellt. Mit dieser kann Google Pay kontaktlose Zahlungsvorgänge via NFC durchführen. Bei der Umsetzung hat Paypal aber zwei Fehler gemacht, die das System verwundbar machen.

Zum einen sind die virtuellen Kreditkarten nicht nur für kontaktlose NFC-Zahlungen freigeschaltet, sondern auch für Onlinezahlungsvorgänge. Bei anderen Systemen, die ebenfalls virtuelle Kreditkarten für Zahlungsvorgänge nutzen, sind diese nur für kontaktlose Zahlungen freigeschaltet und andere Zahlungsarten sind gesperrt.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Ein weiteres Problem macht die ganze Sache fatal: Paypal prüft bei Zahlungsvorgängen weder den Namen noch die CVC-Prüfnummer der virtuellen Kreditkarte. Exablue hatte demnach eine Zahlung mit dem Namen John Doe und einer CVC von 000 bei einem Testaccount durchgeführt.

Ein Angreifer kann nun Folgendes tun: Zunächst liest er mittels NFC die Kreditkartennummer eines Opfers aus. Dafür muss er sich in Reichweite des Smartphones eines Nutzers von Google Pay mit Paypal befinden und das Telefon muss entsperrt und der Bildschirm angeschaltet sein. Die Kreditkartennummer und das Ablaufdatum lassen sich dabei einfach mit jedem NFC-fähigen Lesegerät auslesen, man muss nur nahe genug am Gerät des angegriffenen Nutzers sein.

Damit hat der Angreifer alle Informationen, die er für einen Zahlungsvorgang benötigt. Die Kreditkartennummer und das Ablaufdatum hat er ausgelesen, der Name und die CVC-Prüfnummer werden nicht geprüft.

Verschiedene Angriffsszenarien denkbar

Markus Fenske sagte Golem.de, dass Exablue nicht sicher ist, ob der Angriff genau so abgelaufen ist. Es wäre auch denkbar, dass die Angreifer die Kreditkartennummern schlicht geraten haben. Die ersten acht Stellen sind bei allen virtuellen Karten gleich, die letzte Ziffer ist eine Prüfziffer, daher bleiben sieben Stellen übrig. Dazu kommen 17 mögliche Ablaufdaten, da es das System noch nicht allzu lange gibt.

Insgesamt gibt es damit 170 Millionen mögliche Kombinationen von Kreditkartennummern und Ablaufdaten. Wie wahrscheinlich ein Raten von gültigen Nummern ist, hängt davon ab, wie viele Nutzer insgesamt die Kombination von Google Pay und Paypal nutzen, es erscheint aber durchaus plausibel.

Unabhängig davon, welche der beiden Angriffsmethoden hier real verwendet wurde: Beide Angriffe wären nicht mehr so trivial möglich, wenn Paypal die CVC-Nummern und Namen prüfen würde oder wenn die Karten nicht für Onlinebezahlvorgänge freigeschaltet wären.

Paypal wollte Problem zunächst nicht anerkennen

Andreas Mayer von Exablue hatte dieses Problem im Februar 2019 entdeckt an Paypal über dessen Bugbounty-Programm bei Hackerone gemeldet. Zunächst bestritt Paypal, dass es sich um eine echte Sicherheitslücke handelt. Nach einiger Überzeugungsarbeit und nachdem Exablue Paypal den Angriff in einem Video gezeigt hat, erkannte man den Bericht jedoch an.

Exablue erhielt für seinen Bericht anschließend einen Bugbounty von 4.400 US-Dollar von Paypal. Doch behoben wurde das Problem trotz mehrfacher Nachfragen von Exablue nicht. Die Firma bestätigte Golem.de, dass sie den Angriff heute erneut ausprobiert hat und er weiterhin möglich ist.

Wir haben Paypal um eine Stellungnahme zu dem Vorfall gebeten. Bisher haben wir keine Antwort erhalten.

Nachtrag vom 25. Februar 2020, 16:46 Uhr

Laut einer Meldung der Deutschen Presse-Agentur, die von verschiedenen Medien aufgegriffen wurde, behauptet Paypal, dass das Problem inzwischen behoben worden sei. Die Entdecker der Lücke von der Firma Exablue bestätigten jedoch auf Nachfrage, dass sie das Problem weiterhin ausnutzen könnten. Exablue postete auf Twitter einen Screenshot einer Zahlung, die nach der angeblichen Problembehebung durch Paypal mit einer ausgelesenen virtuellen Kreditkarte durchgeführt worden sei.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Clubhouse  
3,8 Milliarden Telefonnummern werden im Darknet verkauft

Die Telefonnummern und Kontakte aller Clubhouse-Konten werden wohl im Darknet angeboten. Nummern werden nach ihrer Wichtigkeit eingestuft.

Clubhouse: 3,8 Milliarden Telefonnummern werden im Darknet verkauft
Artikel
  1. iPhone 12: Youtuber findet Akkukapazität von Apples Magsafe-Pack heraus
    iPhone 12
    Youtuber findet Akkukapazität von Apples Magsafe-Pack heraus

    Ein Youtuber nimmt das Apple Magsafe-Akkupack auseinander. Im Video gibt er einen Einblick in die Technik und die Akkuladung des Produktes.

  2. Teilautonomes Fahren: Magna übernimmt Fahrerassistenz-Spezialisten Veoneer
    Teilautonomes Fahren
    Magna übernimmt Fahrerassistenz-Spezialisten Veoneer

    Für insgesamt 3,8 Milliarden US-Dollar will Magna International sein Geschäftsfeld autonome Fahrfunktionen ausbauen und übernimmt Veoneer.

  3. Elon Musk: Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad
    Elon Musk
    Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad

    Elon Musk hat klargestellt, dass es für das Model S und das Model X kein normales Lenkrad mehr geben wird. Das D-förmige Lenkrad ist Pflicht.

treysis 02. Mär 2020

Deine ebenso wenig, wenn du hier immer noch von der angeblich so großen Gefahr durch...

Gole-mAndI 26. Feb 2020

Hast du jemals in deinem Leben eine Kreditkarte gesehen? Oder jemals Online Banking...

treysis 26. Feb 2020

Ja, und unterstützt immer noch die AfD und Pegida.

Sukram71 26. Feb 2020

Warum denkt Paypal nicht selbst an sowas? Ist das ne Garagenfirma von Teenagern?

treysis 25. Feb 2020

Eben: nur aktiviert, aber niemals damit bezahlt. Also zumindest nicht über irgendein...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% auf Amazon Warehouse • LG 55NANO867NA 573,10€ • Fractal Design Meshify C Mini 69,90€ • Amazon: PC-Spiele von EA im Angebot (u. a. FIFA 21 19,99€) • Viewsonic VG2719-2K (WQHD, 99% sRGB) 217,99€ • Alternate (u. a. Fractal Design Define S2 106,89€) • Roccat Horde Aimo 49€ [Werbung]
    •  /