Diskussionsforum
Menü

PayPal-Konto für Google Pay Sicherheitslücke


25.02.2020 16:07 - Gestartet von WMdoubleU
Wer bitte weiß denn, wie viele User davon betroffen sind? Weltweit so zwischen 8 und 11? Wie so oft schreibt auch hier die Presse offenbar einmal mehr voneinander ab ohne wirklich Fakten zu kennen und zu nennen. Und die Leser sehen sich daraufhin genötigt, ihr entsprechendes Halbwissen einzubringen.
Was bitte ist in diesem Fall nun Sache? Ein derzeit öfter zitierter Security-Experte gibt immerhin zu, dass es sich bei seinen Angaben zum vorliegenden Fall um reine Annahmen handelt und auch er keine belastbaren Fakten nennen kann ...
Menü
[1] blumenwiese antwortet auf WMdoubleU
25.02.2020 17:58
Ich halte das Risikopotential auch für eher geringer. Eventuell sah das Paypal ja genauso und hat die Lücke unterpriorisiert. Lt. Artikel muss jemand physischen Zugriff auf das Gerät haben, um hinterher die Lücke auszunutzen.

Das allein schließt einen Missbrauch in größerem Umfang aus.
Menü
[1.1] WMdoubleU antwortet auf blumenwiese
26.02.2020 10:41
Geht doch. Warum nicht gleich so? Jetzt sehen wir alle das Ganze gleich in einem anderen Lichte.
Menü
[1.2] Peterdoo antwortet auf blumenwiese
26.02.2020 14:15
Benutzer blumenwiese schrieb:
Ich halte das Risikopotential auch für eher geringer. Eventuell sah das Paypal ja genauso und hat die Lücke unterpriorisiert. Lt. Artikel muss jemand physischen Zugriff auf das Gerät haben, um hinterher die Lücke auszunutzen.

Das allein schließt einen Missbrauch in größerem Umfang aus.
Ich kenne noch einige Geschäfte, bei denen auf dem Beleg die komplette Kartennummer inkl. Ablaufdatum gedruckt wird. Auch wenn man mit Google Pay zahlt. So habe ich die Nummern meiner Google Pay virtuellen Karten herausgefunden.

Wenn bei der PayPal-Karte diese Daten reichen, um im Internet einkaufen zu können (Name, Adresse und CVC werden angeblich bei PayPal nicht geprüft), gibt es schon mehr Missbrauchs-potenzial.

Viele werfen die Kaufbelege einfach weg. Es braucht nur jemand die weg geworfenen in einem Geschäft zu sammeln, wo die Daten auf dem Beleg stehen und schon kann der mit der fremden Karte einkaufen gehen.
Menü
[1.2.1] louis88ex antwortet auf Peterdoo
26.02.2020 17:58
Benutzer Peterdoo schrieb:
Benutzer blumenwiese schrieb:
Ich halte das Risikopotential auch für eher geringer. Eventuell sah das Paypal ja genauso und hat die Lücke unterpriorisiert. Lt. Artikel muss jemand physischen Zugriff auf das Gerät haben, um hinterher die Lücke auszunutzen.

[....]

Viele werfen die Kaufbelege einfach weg. Es braucht nur jemand die weg geworfenen in einem Geschäft zu sammeln, wo die Daten auf dem Beleg stehen und schon kann der mit der fremden Karte einkaufen gehen.

Per Google Pay / Apple Pay bezahlen ist grundsätzlich sehr sicher, weil diese aufegdruckte Nummer nur ein Token ist, der jedes MAl wechselt und nur einmal benutzbar ist, anders als bei einer physichen Karte.
Bitte nicht so viele Unwahrheiten verbreiten, danke.
Menü
[1.2.1.1] Peterdoo antwortet auf louis88ex
26.02.2020 20:22

einmal geändert am 26.02.2020 20:55
Benutzer louis88ex schrieb:
Benutzer Peterdoo schrieb:
Viele werfen die Kaufbelege einfach weg. Es braucht nur jemand die weg geworfenen in einem Geschäft zu sammeln, wo die Daten auf dem Beleg stehen und schon kann der mit der fremden Karte einkaufen gehen.

Per Google Pay / Apple Pay bezahlen ist grundsätzlich sehr sicher, weil diese aufegdruckte Nummer nur ein Token ist, der jedes MAl wechselt und nur einmal benutzbar ist, anders als bei einer physichen Karte.
Bitte nicht so viele Unwahrheiten verbreiten, danke.
Das wurde mal behauptet. Jedoch sagt der genannte Security-Experte, dass im Fall der PayPal Karte im GooglePay über NFC die Kartennummer übertragen wird.
Ich sehe auf den ausgedruckten Belegen immer dieselbe Nummer.
Wem man jetzt glauben soll?

Laut Google ist der Token nichts anderes als eine virtuelle Kartennummer, die nie wechselt:
https://support.google.com/pay/merchants/answer/7151223?hl=en
Menü
[1.2.1.1.1] basti007 antwortet auf Peterdoo
27.02.2020 10:58

4x geändert, zuletzt am 27.02.2020 11:05
Benutzer Peterdoo schrieb:

Das wurde mal behauptet. Jedoch sagt der genannte Security-Experte, dass im Fall der PayPal Karte im GooglePay über NFC die Kartennummer übertragen wird.

Es wird die volle Kartennummer übertragen. Das ist auch kein Geheimnis und war schon seit Monaten in so ziemlich jedem Forum über Kreditkarten (z.b. bei Vielfliegertreff) bekannt. Zahlreiche PayPal-Nutzer haben mit ihren Handys die Nummer ausgelesen und sich so eine kostenlose, virtuelle Mastercard besorgt, die völlig unabhängig von GPay funktioniert hat. Die CVV wird nicht übermittelt, aber die hat PayPal auch nicht geprüft, genauso wenig wie den Namen. Da konnte man einfach immer irgendwas eintragen.

Alles nichts neues, schockierend ist nur, dass Paypal erst jetzt reagiert hat.

Ich sehe auf den ausgedruckten Belegen immer dieselbe Nummer. Wem man jetzt glauben soll?

Da dürfte eigentlich nur diesselbe BIN drauf stehen, die ändert sich bei PayPal nicht. Welches Geschäft druckt denn da angeblich die komplette KK ab? Das wäre schon aus Sicherheitsgründen überhaupt nicht zulässig, erst recht nicht mit CVV, die ist dem Non-Presence-Zahlungen vorbehalten.
Ist aber auch egal: Die restlichen Ziffern kann man berechnen bzw. auch brute-forcen. Die Wahrscheinlichkeit, dass das passiert ist, ist relativ hoch. Der Mißbrauch fand wohl auch von Orten statt, an dem die Opfer nie waren. Insofern ist das Aulesen mittels NFC nur eine Option und keine zwingende Option. Mit einem Crawler sich durch funktionierende Nummern raten geht auch. Dafür gibt es im Internet sogar spezielle (kriminelle) Tools zum Massen-Brute-Force.

Und: Der Token hat mit dem Angriff überhaupt nichts zu tun. Es geht um PayPal, nicht um GPay. Die Tatsache, dass PayPal diese virtuellen Kreditkarten halt für GPay nutzt und dort auch noch das Flag für die erzwungene Präsenz nicht richtig gesetzt hat, hat ihn nur schneller aufgedeckt - im Prinzip war das eine Woche nach der Einführung von PayPal jedem bekannt, der sein Handy mal mit einem NFC-Leser ausgelesen und die Nummer ausprobiert hatte.

Von daher ist der Punkt, wer betroffen ist/war, einfach zu beantworten: Alle, die PayPal bei GPay aktiviert hatten.