Mobile Payment

PayPal & Google Pay: Sicherheits­lücke schon lange bekannt

Von einer Nutzung des PayPal-Kontos für Google Pay kann aus Sicher­heits­gründen derzeit nur abge­raten werden. Die virtu­elle Debit MasterCard lässt sich mit einfa­chen Mitteln auslesen.

Google Pay mit PayPal Google Pay mit PayPal
Foto: teltarif.de
Wie berichtet kam es bei Google-Pay-Nutzern, die eine virtu­elle Debit MasterCard von PayPal als Zahlungs­methode verwenden, in den vergan­genen Tagen zu unau­tori­sierten Abbu­chungen. Hinter­grund ist offenbar eine Sicher­heits­lücke bei PayPal, wie Caschys Blog berichtet. Diese sei bereits vor einem Jahr vom Cyber­sicher­heits­experten Andreas Mayer gefunden und an PayPal gemeldet worden. Dafür habe Mayer sogar eine Beloh­nung erhalten. Geschlossen wurde das Leck aber nicht.

Um das Daten-Leck auszu­nutzen, ist es aller­dings erfor­derlich, mindes­tens einmal Zugriff auf das Smart­phone betrof­fener Nutzer zu bekommen. Die virtu­elle Debit MasterCard von PayPal, die bei Google Pay zum Einsatz komme, lasse sich dann mit belie­bigen Card­reader-Apps auslesen, solange das Display des Tele­fons einge­schaltet und PayPal als Zahlungs­methode bei Google Pay hinter­legt sei.

Die ausge­lesene virtu­elle Karte lasse sich in der Folge für Online-Trans­aktionen nutzen. Eine Prüfung des CVC-Codes gebe es dabei nicht. Wört­lich heißt es: "Jeder, der an dem Handy des Opfers vorbei geht (Bild­schirm muss an sein, was in der Hosen­tasche leicht passiert), hat eine voll­wertige virtu­elle Kredit­karte ausge­lesen und kann sich damit, auch Monate später, am PayPal-Account des Opfers bedienen." Das sei jetzt von der orga­nisierten Krimi­nalität ausge­nutzt worden.

PayPal aus Google Pay entfernen

Google Pay mit PayPal Google Pay mit PayPal
Foto: teltarif.de
Um Miss­brauch beim eigenen Account zu vermeiden, sollte die virtu­elle PayPal-MasterCard aus Google Pay entfernt werden. Das helfe natür­lich nur für den Fall, dass die Karte nicht bereits ausge­lesen wurde. Erste Nutzer, die nicht auto­risierte Abbu­chungen bemän­gelt hätten, seien die Beträge unter­dessen zurück­erstattet worden. Wie es im Bericht weiter heißt, ließen sich Karten­nummer und Ablauf­datum der virtu­ellen PayPal-Karte bei Google Pay in der Tat per NFC auslesen und für Online-Trans­aktionen nutzen. Dabei sei ein belie­biger CVC-Code, etwa 000, nutzbar gewesen.

PayPal beteu­erte in einer Stel­lung­nahme zwar, seine Verant­wortung gegen­über Nutzern "sehr ernst" zu nehmen und "in den Berei­chen Betrugs­präven­tion und Risi­koma­nage­ment moderne Tech­nolo­gien einzu­setzen", um sichere Zahlungen zu ermög­lichen und die Kunden zu schützen. Umso unver­ständ­licher ist es, dass der Anbieter eine derart große Sicher­heits­lücke, die seit einem Jahr bekannt ist, nicht umge­hend geschlossen hat.

Gene­rell scheint PayPal die Koope­ration mit Google Pay eher halb­herzig zu verfolgen. So ist es bis heute nicht möglich, neben Smart­phones auch Smart­watches für den mobilen Bezahl­dienst zu verwenden, wie es bei (nahezu) jeder anderen Kredit­karte, die für Google Pay zum Einsatz kommt, möglich ist.

Mehr zum Thema Google Pay

­