Benutzer, die Google Pay mit Paypal als Zahlungsmethode verwendeten, berichten seit mehreren Tagen über nicht nachvollziehbare Abbuchungen von ihren Paypal-Konten. Inzwischen hat sich die Sicherheitsfirma Exablue gemeldet und behauptet, das Problem dahinter zu kennen und es schon vor einem Jahr an Paypal gemeldet zu haben.
Den Berichten nach tritt dies Problem ausschließlich bei solchen Nutzern auf, die ihr Google-Pay-Konto mit Paypal verknüpft haben. Mit dieser Kombi ist auch die kontaktlose Zahlung möglich.
Zwei Schwachstellen bei den virtuelle Kreditkarten
Die Zahlung über Google Pay soll so funktionieren, dass Paypal eine virtuelle Kreditkarte bereitstellt, mit der Google Pay kontaktlose Zahlungsvorgänge via NFC durchführen kann. Allerdings soll Paypal bei der Realisierung zwei Fehler gemacht, die das System angreifbar machen.
Einerseits sind die virtuellen Kreditkarten nicht nur für kontaktlose NFC-Zahlungen freigeschaltet, sondern auch für Online-Bezahlvorgänge. Bei vergleichbaren Systemen, die auch virtuelle Kreditkarten für Zahlungsvorgänge nutzen, sind diese sicherheitshalber nur für kontaktlose Zahlungen freigeschaltet – andere Zahlungsarten sind dort gesperrt.
Das zweite Problem macht die ganze Sache dann komplett unsicher. Paypal prüft nämlich bei Zahlungsvorgängen weder den Namen noch die CVC-Prüfnummer der virtuellen Kreditkarten.
Der eigentliche Angriff
Deshalb kann ein Angreifer dann so vorgehen: Erst liest er über NFC die Kreditkartennummer seines Opfers aus. Zu dem Zweck muss er in Reichweite des Smartphones eines Nutzers von Google Pay mit Paypal sein, das Telefon muss entsperrt und sein Bildschirm angeschaltet sein. Dann lassen sich die Kreditkartennummer und das Ablaufdatum einfach mit jedem NFC-fähigen Lesegerät auslesen. Man muss also nur nahe genug an das Smartphone des angegriffenen Nutzers kommen.
So erhält der Angreifer alle Informationen, die er für einen Zahlungsvorgang braucht. Kreditkartennummer und Ablaufdatum hat er ausgelesen, und Name und CVC-Prüfnummer werden ja nicht geprüft…
Alternative Anfriffsszenarien
Es wäre auch möglich, dass der Angreifer die Kreditkartennummern einfach nur geraten hat. Denn die ersten acht Stellen sind bei allen virtuellen Karten gleich, und die letzte Ziffer ist eine Prüfziffer, deshalb bleiben sieben Stellen übrig. Dazu kommen nur 17 mögliche Ablaufdaten, weil es das System ja noch nicht lange gibt.
Egal, welche der beiden Angriffsmethoden verwendet wurde: Beide Angriffe wären nicht mehr so einfach möglich, wenn Paypal auch die CVC-Nummern und Namen prüfen würde und auch nicht, wenn die Karten simpel und einfach nicht für Zahlungsvorgänge freigeschaltet wären.
Das Problem besteht trotz angeblicher Behebung weiter
Eine Meldung der Deutschen Presse-Agentur (DPA), die von mehreren Medien übernommen wurde, sagt, dass Paypal behauptet, das Problem inzwischen behoben zu haben.
Allerdings bestätigte die Firma Exablue, die die Lücken gefunden und gemeldet hatte, dass sie die Schwachstellen weiterhin ausnutzen könnten. Exablue postete zum Beleg auf Twitter einen Screenshot einer Zahlung, die zeitlich nach der vorgeblichen Problembehebung durch Paypal mit einer ausgelesenen virtuellen Kreditkarte durchgeführt wurde.
