PayPal-App mit Sicherheitslücke?
Gestern Abend schrieb mich unser Leser Jörg an, der eine interessante Entdeckung in der aktuellen PayPal-App für iOS machte. Er hat in seinem PayPal-Account als zusätzliche Sicherheitsfunktion den so genannten „Sicherheitsschlüssel“ gewählt. Er funktioniert ähnlich wie die Zwei-Faktor-Authentifizierung bei Google.
Neben der E-Mail-Adresse und dem Passwort muss zum Einloggen ein Sicherheitsschlüssel (Zifferncode) eingegeben werden, welcher über einen Hardware-Dongle oder über die App „VIP Access“ von Symantec erstellt wird – jedesmal neu und immer nur für 30 Sekunden gültig. Diese zweistufige Identifizierung bei PayPal mit dem Passwort und dem Sicherheitscode wird bei Jörg offenbar in der aktuellen App umgangen.
[werbung]
Wir haben das Ganze ebenfalls mit zwei Personen getestet – in unserem Fall mit dem sogenannten SMS-Sicherheitscode. Auch das bietet PayPal nämlich an: man kann sich von PayPal einen Sicherheitscode per SMS zusenden lassen. Deshalb haben wir in unserem Test die SMS-Sicherheit aktiviert und kein mobiles Gerät als vertrauenswürdig deklariert.
Dennoch konnten wir uns in der aktuellen PayPal-App für iOS nur mit E-Mail-Adresse und Passwort einloggen, hatten kompletten Zugriff auf das Konto und konnten auch Geld übermitteln. In der aktuellen PayPal-App unter iOS 7.0.2 genügt also offenbar die Eingabe des einfachen Passworts. Früher war es so, dass man im Passwortfeld sowohl das Passwort als auch, direkt hinten dran geschrieben, den Sicherheitscode benötigte. Andernfalls gab es einen Login-Fehler.
Der PayPal-Support antwortet auf Jörgs Rückfragen mit der Aussage, dass die mobile App den Sicherheitsschlüssel nicht unterstützt, obwohl – wie Jörg uns berichtete – sie das in älteren Versionen definitiv tat.
Insofern behaupte ich einmal, dass PayPals Sicherheitsversprechen momentan nicht völlig greifen: „Natürlich gelten unsere Sicherheitsstandards auch, wenn Sie Ihr Smartphone oder Ihr Tablet zum Shoppen verwenden. Der Käuferschutz übrigens auch. Außerdem haben wir unsere Apps mit modernster Sicherheitstechnik ausgerüstet wie zum Beispiel einer zusätzlichen Sicherheits-PIN.“
Momentan ist es so: ein vorher vorhandenes Sicherheits-Feature scheint nicht zu greifen, sodass die Sicherheit über den Sicherheitsschlüssel ad absurdum geführt wird.
Leider habe ich das auch bereits festgestellt.
Zum Thema Sicherheit: Der SMS-Sicherheitsschlüssel funktioniert schon seit Monaten nicht mehr… und ich bin da nicht der Einzige. Auch der „Support“ kann nicht weiterhelfen.
stimmt, SMS funktioniert schon seit geraumer Zeit nicht!
Da stellt sich die Frage, ob dieser Sicherheitsschlüssel nicht schon immer eine Farce war und nur zur Beruhigung der Anwender existierte. Offensichtlich ist der Schlüssel ja keine Vorraussetzung, um mit dem Account des Users zu quatschen.
wenn man das hardware dongle hat, dann funktioniert es über die app. der hintergrund ist, dass ähnlich wie beim mobile-banking, wo sms tan auf das gleiche gerät nicht funktionieren, hier die 2-faktor-funktion auch aus politischen gründen nicht aktiv ist, weil man den extracode einem potentiellen dieb gleich mit in die hände gibt und sich sowas schnell als pr-gau erweisen kann.
ich weiss, dass das irgendwo absurd ist und andere 2faktor anbieter auch lösungen hinkriegen und es technisch nicht so schwer ist, aber sobald halt geldverwaltung im spiel ist, werden die rechtlichen rahmen ganz andere.
in fachkreisen vermutet man eine von zwei lösungen:
a) die symantec app wird verbessert oder ersetzt, sodass zum starten der app auch ein passwort erforderlich wird. ähnlich hde otp
b) apples touch-id wird als zusatzabfrage integriert. die jetzige negativ-presse verzögert das aber
@jonas: ich verstehe, was Du sagen willst… Nur nochmal zur Klärung: bei MIR geht es nicht um den SMS-Code, sondern um die Erzeugung des Sicherheitsschlüssels über eine APP (also im Prinzip eine Softwarebasierte Lösung, die dem Hardware-Dongle gleich).
Bei der PayPal-App DARF es einfach nicht sein, daß ich mich mit dem einfachen Passwort einloggen kann, wenn ich einen aktiven Sicherheitsschlüssel / zwei-Faktor-Autentifizierung habe.
Wenn ICH in den Sicherheitseinstellungen meines Kontos festlege: „in mein Konto darf nur jemand, der Passwort UND Schlüsselnummer hat“, dann MUSS dies auch eingehalten werden, egal, welcher Zugangsweg zu meinem Konto verwendet wird.
Abgesehen davon war es bislang so, daß die PayPal-App bei aktiviertem Sicherheitsschlüssel (Hardware UND Software-Lösung!) IMMER den Eintrag von Passwort UND Zahlencode verlangt hat.
Kann ich auch nur bestätigen, musste es in letzter Zeit immer per Sicherheitsfrage machen, da die SMS nicht mehr ankam. PayPal enttäuscht immer mehr.
Gerade noch einmal probiert, die SMS kam nun an, aber nach sage und schreibe 2 Minuten.
Unglaublich, dass so etwas auf App-Seite entschieden werden kann. Normalerweise müsste 2-factor doch serverseitig implementiert werden – und zwar bei jeder Authorisation eines Users.
Bei diablo 3 konnte ich per PayPal schon immer so bezahlen da kam auch nie die SMS obwohl das bei mir eingerichtet ist.
@jonas
Ich habe den externen Schlüsselgenerator und es wird beim Einloggen mit der App NICHT danach gefragt. Also kann ich das Ding auch getrost wegwerfen (nach dem ich das Dinge abgemeldet habe)
Bei mir funktioniert 2 way authentification bei paypal per sms code einwandfrei. Sollte bei aller Kritik auch erwähnt werden (dürfen).
@Kabal
Paypal und Support sind zwei Sachen die absolut nichts miteinander zu tun haben. Käuferschutz ist ebenfalls eine Lachnummer. Ich musste diesen Sommer 3 (drei) Monate auf Rückzahlung von 900 Euro warten weil ein eBay-Verkäufer nicht lieferte. Seitdem nur noch Amazon.
Ich staune generell, welchen Zuspruch PP erfährt und finde es erschreckend, wie gerade dieses Unternehmen, dass schon oft genug bewiesen hat, dass Kunden nur als Mittel zum Zweck gesehen werden und schon seit Jahren immer wieder mit dubiosen Einbehaltungsmethoden (wie kürzlich wieder beim Crowd-Funding Kapital von Spieleentwicklern) mit der aggressiven Werbestrategie derzeit immer mehr in den Markt drängt und offensichtlich Erfolg damit hat…