t3n News E-Commerce

PayPal: Sicherheitsexperten umgehen Zwei-Faktor-Authentifizierung

PayPal: Sicherheitsexperten umgehen Zwei-Faktor-Authentifizierung

Sicherheitsexperten von Duo haben einen Weg gefunden, die Zwei-Faktor-Authentifizierung von zu umgehen. Dadurch würde der Sicherheitsgewinn durch die Technik praktisch ausgehebelt.

PayPal: Sicherheitsexperten umgehen Zwei-Faktor-Authentifizierung

PayPal. (Foto: Steve Ganz / Flickr Lizenz: CC BY 2.0)

PayPal: Die Sicherheitsschlüssel“ genannte Zwei-Faktor-Authentifizierung konnte von Sicherheitsexperten umgangen werden. (Foto: Duo Security)
PayPal: Die Sicherheitsschlüssel“ genannte Zwei-Faktor-Authentifizierung konnte von Sicherheitsexperten umgangen werden. (Foto: Duo Security)

PayPal: Zwei-Faktor-Authentifizierung für mehr Sicherheit?

Die Zwei-Faktor-Authentifizierung soll als ein zusätzlicher Schutz fungieren und dafür sorgen, dass Dritte nicht auf das eigene Konto zugreifen können, selbst wenn sie Nutzernamen und Passwort ihres Opfers kennen. PayPal nennt die Methode „Sicherheitsschlüssel“. Die Nutzer des Dienstes haben zwei Möglichkeiten ihn zu nutzen: Entweder sie lassen sich für jeden Login-Vorgang einen Pin per SMS zuschicken, oder sie erwerben einen kreditkartengroßen Hardware-Schlüssel von PayPal.

Was letztlich für mehr Sicherheit sorgen soll, scheint von der eBay-Tochter jedoch nicht konsequent umgesetzt worden zu sein. Derzeit unterstützen die iOS- und Android-Apps den „Sicherheitsschlüssel“ nicht. Aktiviert ein Nutzer also die Zwei-Faktor-Authentifizierung, ist es ihm nicht möglich, sich über die Apps bei PayPal anzumelden. Dabei ist die Vorgehensweise, von dem fehlenden Feature der App abgesehen, eigentlich sinnvoll. Die Umsetzung jedoch hat ihre Tücken.

PayPal: Zwei-Faktor-Authentifizierung konnte umgangen werden

Wie Sicherheitsexperten von Duo Security, einem Anbieter eigener Lösungen zur Zwei-Faktor-Authentifizierung, herausgefunden haben, lässt sich der „Sicherheitsschlüssel“ vollständig umgehen. Laut Duo Security teilt der PayPal-Server der App mit, ob bei einem Account die Zwei-Faktor-Authentifizierung aktiviert wurde oder nicht. Ein Angreifer kann diese vom Server gesendete Antwort vergleichsweise einfach manipulieren, wodurch die App annimmt, das Konto wäre nicht durch den „Sicherheitsschlüssel“ geschützt.

Anschließend, so das Team von Duo Security, war es ihnen möglich sich nur mit dem Nutzernamen und dem Passwort bei PayPal anzumelden und sogar Transaktionen durchzuführen. Mittlerweile hat PayPal allerdings reagiert und scheint die Sicherheitslücke geschlossen zu haben. In einem Statement gegenüber t3n heißt es:

Über das PayPal Bug Bounty Programm sind wir kürzlich auf einen möglichen Weg hingewiesen worden, die Zwei-Faktor-Authentifizierung (2FA) beim Login-Prozess für eine kleine Zahl unserer mobilen Produkte zu umgehen. Wir möchten unterstreichen, dass alle PayPal-Konten sicher bleiben. Die ermittelte Umgehung bezog sich auf eine zusätzliche Sicherheitsstufe, die einige unserer Kunden ihrem Konto hinzugefügt haben. Die Umgehung wurde direkt an PayPal gemeldet, bevor diese öffentlich gemacht wurde. Als eine Vorsichtsmaßnahme hat PayPal für Kunden, die 2FA gewählt haben, um sich in ihr Konto einzuloggen, vorübergehend die Möglichkeit des Einloggens in ihr PayPal-Konto über die PayPal-App und bestimmte andere mobile Applikationen deaktiviert, bis in Kürze ein Fix implementiert werden kann. Wir bedauern die Unannehmlichkeiten, die hieraus für unsere Kunden entstehen, jedoch hat deren Sicherheit für uns höchste Priorität.

Wer wissen möchte, wie er das eigentlich sehr sinnvolle Sicherheitsfeature bei verschiedenen Web-Diensten aktivieren kann, sollte einen Blick auf unseren Artikel „Jede Hürde zählt: So setzt du die Zwei-Faktor-Authentifizierung bei großen Webseiten ein“ werfen.

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
2 Antworten
  1. von Felix am 26.06.2014 (09:21 Uhr)

    Hallo, ihr habt nicht gut recherchiert.
    Man kann sehr wohl 2FA unter IOS nutzen.
    Und man benötigt nicht zwingend diese Schlüssel-Hardware.
    Man brauch die Symantec-VIP-Access app und muss sein Konto entsprechend dafür einrichten.
    Dann kann man in Apps immer im Schema:
    sich einloggen.

    Die Anleitungen dazu lass ich euch suchen. :P

    Antworten Teilen
  2. von anderer felix am 29.06.2014 (12:19 Uhr)

    So oder so ist die Two-Factor-Auth nur freiwillig und damit kein echter Schutz. Der Kunde hat wenig Interesse daran diese Methode zu nutzen weil er das Geld im Zweifelsfall ohnehin zurückerstattet bekommt wenn ihm jemand das Konto ausräumt.

    Der Dumme ist meistens der Händler welcher das Geld wieder entzogen bekommt obwohl der die Ware geliefert hat.

    Auf Anfrage bei PayPal heisst es: "Leider haben Sie derzeit keine Möglichkeit sich effektiv vor PayPal-Betrügern zu schützen."

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema PayPal
8 PayPal-Alternativen, die du kennen solltest
8 PayPal-Alternativen, die du kennen solltest

PayPal gilt nach wie vor als Branchenprimus unter den Zahlungsdiensten im Internet. Der Bezahldienst ist sicher und bequem – aber längst nicht so vielseitig. Da lohnt der Blick auf Alternativen. » weiterlesen

Roboter statt Security-Mann: In Apples Heimat patroulliert dieser putzige „RoboCop“
Roboter statt Security-Mann: In Apples Heimat patroulliert dieser putzige „RoboCop“

In der kalifornischen Stadt Palo Alto, bekannt vor allem als Konzernsitz von Apple, patroulliert ein Roboter vor einem Einkaufszentrum. Der Knightscope hat keine Waffen wie der „RoboCop“, kann … » weiterlesen

Ratenzahlung bei PayPal: Das steckt hinter der neuen Option in Online-Shops
Ratenzahlung bei PayPal: Das steckt hinter der neuen Option in Online-Shops

Der Bezahldienstleister PayPal hat eine neue Option für Online-Händler gestartet: Ratenzahlung. Für die Nutzung des Finanzierungsangebots benötigen Kunden nicht einmal ein PayPal-Konto. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?