Google Pay: Virtuelle PayPal-Kreditkarten weisen Sicherheitslücken auf
von Felix Frank | 106 Kommentare
Uns erreichte ein Tipp zu einer Sicherheitslücke bei PayPal, welche bereits im Februar 2019 vom Cybersicherheitsexperten Andreas Mayer entdeckt wurde. Möglicherweise zeichnet sich nämlich genau diese verantwortlich für die unautorisierten Abbuchungen in Verbindung mit Google Pay. Die Lücke setzt jedoch einen einmaligen physischen Zugriff auf Smartphones der Betroffenen voraus, ähnlich wie man das auch vom klassischen Ausnutzen der kontaktlosen Zahlung bei physischer Karte kennt:
PayPal benutzt für kontaktlose Zahlungen über GPay eine virtuelle Kreditkarte. Diese kann aus dem Handy mit jeder beliebigen Cardreader-App ausgelesen werden, solange der Bildschirm des Handys an ist.
Anmerkung Caschys Blog: Vorausgestzt natürlich, PayPal ist als Standardzahlungsmethode in Google Pay hinterlegt.
Die ausgelesene Karte lässt sich dann auch für Online-Transaktionen nutzen – ganz ohne Prüfung des CVC-Codes.
Jeder, der an dem Handy des Opfers vorbei geht (Bildschirm muss an sein, was in der Hosentasche leicht passiert), hat eine vollwertige virtuelle Kreditkarte ausgelesen und kann sich damit, auch Monate später, am PayPal-Account des Opfers bedienen. Das wird jetzt gerade von der organisierten Kriminalität ausgenutzt
Die entsprechende Lücke habe man bereits über das Bug-Bounty-Programm an PayPal gemeldet und auch eine Belohnung erhalten. Doch die Lücke wurde augenscheinlich jedoch nie behoben.
Yes. The other cards/services we tried only accept POS transactions. They cannot be used for online payment. PayPal's issues (as of Feb '19):
– allows online payments
– any CVC is allowedNot sure what or if they fixed anything. They did not respond. May check later.
— iblue (@iblueconnection) February 24, 2020
Als Empfehlung rät Markus Fenske, Geschäftsführer der exablue GmbH, die virtuelle Karte, die PayPal für Google Pay generiert, vorsorglich aus eurem Account zu entfernen. Hilft natürlich nur, wenn eure Karte nicht bereits ausgelesen wurde.
Klingt nach einer potenziellen Erklärung der zahlreichen Abbuchungen, für die PayPal bisher bekanntlich nur ein sehr dünnes Statement herausgab. Würde zusätzlich auch erklären, weshalb keinerlei 2-Faktor-Authentifizierung gegriffen hat. Den Kreis der Betroffenen dürfte dies jedoch einschränken, denn fürs Auslesen der Karte ist der erwähnte einmalige, physische Zugriff notwendig.
Ich habe mich da natürlich selbst dran gemacht und kann vorangegangenes bestätigen: Eine einfache Android-App genügt, um über NFC die Kartennummer und das Ablaufdatum auszulesen. Zum Test hinterlegte ich die ausgelesene Karte mal in Google Pay mittels beliebiger CVC (000), die Karte wurde umgehend für Online-Zahlungen akzeptiert.
Wird geladen ...
Wie oben schon schrieb in Kurzfassung
Mein Mi9T geht nicht ohne entsperrt zuwerden!
Den physischen Zugriff halte ich für ausgeschlossen.
Es werden bei jedem Bezahlvorgang von Googlepay neue tokenś generiert.
Wenn Paypal die Karte auch als Onlinebezahlungsmittel ohne CVC zulässt schon doof.
Ich denke der Hase liegt wo anders begraben. Vlt. ist ja nichtmal Paypal selbst Schuld, das die Kreditkarteninfoś rausgekommen sind, sondern über eine Datenpanne des Finazdienstleisters welche die Terminals betreibt, wobei auch da ja nicht jeder Händler mit der gleichen Firma zusammen arbeitet.
Für mich steht fest irgendwo in der digitalen Kette is ein Datenleck, welches die Kreditkarteninfoś preis gibt. umsoverwerflicher von Paypal die CVC nicht zuprüfen.
Korrekt. Das jemand durch die Lande reist und Androiden mit eingerichteter PP-virtual-Kreditkarte-GooglePay jagt…. klingt mehr als unwahrscheinlich.
Ich gehe von einem Hack bei Paypal oder einem Terminal Dienstleister aus. Solange das jeweilige Unternehmen selbst keinen Beweis dafür hat, wird aber erstmal die Schuld auf den Endbenutzer geschoben. Klare Sache.
Bin gerade selbst froh, vor einem Jahr den Absprung von GooglePay mit PP-Kreditkarte gemacht zu haben. Mitsamt neuem Girokonto. Weil ich wirklich sehr viel (jetzt mit Apple Pay) zahle.
Das vermute ich auch. Interessanterweise konnte ich am Freitag und Samstag nicht mit Visa bezahlen. Und es ging nicht nur mir so. Meine Vermutung: Angriff auf Kreditkartenunternehmen. Visa hats bemerkt und erst mal gesperrt, Mastercard nicht (PayPal in Google Pay ist eine virtuelle Mastercard).
Gerad mal mit meinem Mi9T getestet und meiner Fossil Sport. Ohne die Gpay App auf der Uhr zu starten und zu entsperren. Ging mit der Scheckartenleser app nix. Danach war bei mir die Karte angezeigt (Debit Mastercard der N26) aber alles „xxxxxxxx“ einzig das es eine Debit Mastercard und die Mac vom NFc modul wurde angezeigt.
Felix mit welchen Smartphone hast du es getestet? Werde heut Nachmittag mal mein Mi9T und dann die Scheckartenleserapps aufs Mi9Tpro meiner Freundin machen.
Mit einem Pixel 2XL und einem OnePlus 7T. Möglicherweise eine andre Version der Scheckkartenleser-App, die zeigt sämtliche Stellen an und wurde mir von einem Leser zum Testen geschickt.
Offensichtlich reagiert Google auf die Panne. Bei mir ist die „Paypal-Karte“ in GPay deaktiviert worden und ein Hinzufügen ist derzeit nicht möglich.