Google Pay: Virtuelle PayPal-Kreditkarten weisen Sicherheitslücken auf

Uns erreichte ein Tipp zu einer Sicherheitslücke bei PayPal, welche bereits im Februar 2019 vom Cybersicherheitsexperten Andreas Mayer entdeckt wurde. Möglicherweise zeichnet sich nämlich genau diese verantwortlich für die unautorisierten Abbuchungen in Verbindung mit Google Pay. Die Lücke setzt jedoch einen einmaligen physischen Zugriff auf Smartphones der Betroffenen voraus, ähnlich wie man das auch vom klassischen Ausnutzen der kontaktlosen Zahlung bei physischer Karte kennt:

PayPal benutzt für kontaktlose Zahlungen über GPay eine virtuelle Kreditkarte. Diese kann aus dem Handy mit jeder beliebigen Cardreader-App ausgelesen werden, solange der Bildschirm des Handys an ist. 
Anmerkung Caschys Blog: Vorausgestzt natürlich, PayPal ist als Standardzahlungsmethode in Google Pay hinterlegt.

Die ausgelesene Karte lässt sich dann auch für Online-Transaktionen nutzen – ganz ohne Prüfung des CVC-Codes.

Jeder, der an dem Handy des Opfers vorbei geht (Bildschirm muss an sein, was in der Hosentasche leicht passiert), hat eine vollwertige virtuelle Kreditkarte ausgelesen und kann sich damit, auch Monate später, am PayPal-Account des Opfers bedienen. Das wird jetzt gerade von der organisierten Kriminalität ausgenutzt

Die entsprechende Lücke habe man bereits über das Bug-Bounty-Programm an PayPal gemeldet und auch eine Belohnung erhalten. Doch die Lücke wurde augenscheinlich jedoch nie behoben.

Als Empfehlung rät Markus Fenske, Geschäftsführer der exablue GmbH, die virtuelle Karte, die PayPal für Google Pay generiert, vorsorglich aus eurem Account zu entfernen. Hilft natürlich nur, wenn eure Karte nicht bereits ausgelesen wurde.

Klingt nach einer potenziellen Erklärung der zahlreichen Abbuchungen, für die PayPal bisher bekanntlich nur ein sehr dünnes Statement herausgab. Würde zusätzlich auch erklären, weshalb keinerlei 2-Faktor-Authentifizierung gegriffen hat. Den Kreis der Betroffenen dürfte dies jedoch einschränken, denn fürs Auslesen der Karte ist der erwähnte einmalige, physische Zugriff notwendig.

Ich habe mich da natürlich selbst dran gemacht und kann vorangegangenes bestätigen: Eine einfache Android-App genügt, um über NFC die Kartennummer und das Ablaufdatum auszulesen. Zum Test hinterlegte ich die ausgelesene Karte mal in Google Pay mittels beliebiger CVC (000), die Karte wurde umgehend für Online-Zahlungen akzeptiert.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Baujahr 1995. Technophiler Schwabe & Lehrer. Unterwegs vor allem im Bereich Smart Home und ständig auf der Suche nach neuen Gadgets & Technik-Trends aus Fernost. X; Threads; LinkedIn. Mail: felix@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

106 Kommentare

  1. Wie oben schon schrieb in Kurzfassung
    Mein Mi9T geht nicht ohne entsperrt zuwerden!
    Den physischen Zugriff halte ich für ausgeschlossen.
    Es werden bei jedem Bezahlvorgang von Googlepay neue tokenś generiert.
    Wenn Paypal die Karte auch als Onlinebezahlungsmittel ohne CVC zulässt schon doof.

    Ich denke der Hase liegt wo anders begraben. Vlt. ist ja nichtmal Paypal selbst Schuld, das die Kreditkarteninfoś rausgekommen sind, sondern über eine Datenpanne des Finazdienstleisters welche die Terminals betreibt, wobei auch da ja nicht jeder Händler mit der gleichen Firma zusammen arbeitet.

    Für mich steht fest irgendwo in der digitalen Kette is ein Datenleck, welches die Kreditkarteninfoś preis gibt. umsoverwerflicher von Paypal die CVC nicht zuprüfen.

    • Korrekt. Das jemand durch die Lande reist und Androiden mit eingerichteter PP-virtual-Kreditkarte-GooglePay jagt…. klingt mehr als unwahrscheinlich.

      Ich gehe von einem Hack bei Paypal oder einem Terminal Dienstleister aus. Solange das jeweilige Unternehmen selbst keinen Beweis dafür hat, wird aber erstmal die Schuld auf den Endbenutzer geschoben. Klare Sache.

      Bin gerade selbst froh, vor einem Jahr den Absprung von GooglePay mit PP-Kreditkarte gemacht zu haben. Mitsamt neuem Girokonto. Weil ich wirklich sehr viel (jetzt mit Apple Pay) zahle.

    • Das vermute ich auch. Interessanterweise konnte ich am Freitag und Samstag nicht mit Visa bezahlen. Und es ging nicht nur mir so. Meine Vermutung: Angriff auf Kreditkartenunternehmen. Visa hats bemerkt und erst mal gesperrt, Mastercard nicht (PayPal in Google Pay ist eine virtuelle Mastercard).

  2. Gerad mal mit meinem Mi9T getestet und meiner Fossil Sport. Ohne die Gpay App auf der Uhr zu starten und zu entsperren. Ging mit der Scheckartenleser app nix. Danach war bei mir die Karte angezeigt (Debit Mastercard der N26) aber alles „xxxxxxxx“ einzig das es eine Debit Mastercard und die Mac vom NFc modul wurde angezeigt.

    Felix mit welchen Smartphone hast du es getestet? Werde heut Nachmittag mal mein Mi9T und dann die Scheckartenleserapps aufs Mi9Tpro meiner Freundin machen.

    • Felix Frank says:

      Mit einem Pixel 2XL und einem OnePlus 7T. Möglicherweise eine andre Version der Scheckkartenleser-App, die zeigt sämtliche Stellen an und wurde mir von einem Leser zum Testen geschickt.

  3. Offensichtlich reagiert Google auf die Panne. Bei mir ist die „Paypal-Karte“ in GPay deaktiviert worden und ein Hinzufügen ist derzeit nicht möglich.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.