PayPal-App mit Sicherheitslücke?

30. September 2013 Kategorie: Backup & Security, iOS, geschrieben von:

Gestern Abend schrieb mich unser Leser Jörg an, der eine interessante Entdeckung in der aktuellen PayPal-App für iOS machte. Er hat in seinem PayPal-Account als zusätzliche Sicherheitsfunktion den so genannten „Sicherheitsschlüssel“ gewählt. Er funktioniert ähnlich wie die Zwei-Faktor-Authentifizierung bei Google.

iPhone 5s mit Apps

Neben der E-Mail-Adresse und dem Passwort muss zum Einloggen ein Sicherheitsschlüssel (Zifferncode) eingegeben werden, welcher über einen Hardware-Dongle oder über die App „VIP Access“ von Symantec erstellt wird – jedesmal neu und immer nur für 30 Sekunden gültig. Diese zweistufige Identifizierung bei PayPal mit dem Passwort und dem Sicherheitscode wird bei Jörg offenbar in der aktuellen App umgangen.

Wir haben das Ganze ebenfalls mit zwei Personen getestet – in unserem Fall mit dem sogenannten SMS-Sicherheitscode. Auch das bietet PayPal nämlich an: man kann sich von PayPal einen Sicherheitscode per SMS zusenden lassen. Deshalb haben wir in unserem Test die SMS-Sicherheit aktiviert und kein mobiles Gerät als vertrauenswürdig deklariert.

Dennoch konnten wir uns in der aktuellen PayPal-App für iOS nur mit E-Mail-Adresse und Passwort einloggen, hatten kompletten Zugriff auf das Konto und konnten auch Geld übermitteln. In der aktuellen PayPal-App unter iOS 7.0.2 genügt also offenbar die Eingabe des einfachen Passworts. Früher war es so, dass man im Passwortfeld sowohl das Passwort als auch, direkt hinten dran geschrieben, den Sicherheitscode benötigte. Andernfalls gab es einen Login-Fehler.

Der PayPal-Support antwortet auf Jörgs Rückfragen mit der Aussage, dass die mobile App den Sicherheitsschlüssel nicht unterstützt, obwohl – wie Jörg uns berichtete – sie das in älteren Versionen definitiv tat.

Insofern behaupte ich einmal, dass PayPals Sicherheitsversprechen momentan nicht völlig greifen: „Natürlich gelten unsere Sicherheitsstandards auch, wenn Sie Ihr Smartphone oder Ihr Tablet zum Shoppen verwenden. Der Käuferschutz übrigens auch. Außerdem haben wir unsere Apps mit modernster Sicherheitstechnik ausgerüstet wie zum Beispiel einer zusätzlichen Sicherheits-PIN.“

Momentan ist es so: ein vorher vorhandenes Sicherheits-Feature scheint nicht zu greifen, sodass die Sicherheit über den Sicherheitsschlüssel ad absurdum geführt wird.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25434 Artikel geschrieben.