Anzeige
Anzeige
E-Commerce

PayPal: Sicherheitsexperten umgehen Zwei-Faktor-Authentifizierung

Sicherheitsexperten von Duo Security haben einen Weg gefunden, die Zwei-Faktor-Authentifizierung von PayPal zu umgehen. Dadurch würde der Sicherheitsgewinn durch die Technik praktisch ausgehebelt.

2 Min.
Artikel merken
Anzeige
Anzeige

PayPal. (Foto: Steve Ganz / Flickr Lizenz: CC BY 2.0)

PayPal: Die Sicherheitsschlüssel“ genannte Zwei-Faktor-Authentifizierung konnte von Sicherheitsexperten umgangen werden. (Foto: Duo Security)

PayPal: Die Sicherheitsschlüssel“ genannte Zwei-Faktor-Authentifizierung konnte von Sicherheitsexperten umgangen werden. (Foto: Duo Security)

PayPal: Zwei-Faktor-Authentifizierung für mehr Sicherheit?

Die Zwei-Faktor-Authentifizierung soll als ein zusätzlicher Schutz fungieren und dafür sorgen, dass Dritte nicht auf das eigene Konto zugreifen können, selbst wenn sie Nutzernamen und Passwort ihres Opfers kennen. PayPal nennt die Methode „Sicherheitsschlüssel“. Die Nutzer des Dienstes haben zwei Möglichkeiten ihn zu nutzen: Entweder sie lassen sich für jeden Login-Vorgang einen Pin per SMS zuschicken, oder sie erwerben einen kreditkartengroßen Hardware-Schlüssel von PayPal.

Anzeige
Anzeige

Was letztlich für mehr Sicherheit sorgen soll, scheint von der eBay-Tochter jedoch nicht konsequent umgesetzt worden zu sein. Derzeit unterstützen die iOS- und Android-Apps den „Sicherheitsschlüssel“ nicht. Aktiviert ein Nutzer also die Zwei-Faktor-Authentifizierung, ist es ihm nicht möglich, sich über die Apps bei PayPal anzumelden. Dabei ist die Vorgehensweise, von dem fehlenden Feature der App abgesehen, eigentlich sinnvoll. Die Umsetzung jedoch hat ihre Tücken.

PayPal: Zwei-Faktor-Authentifizierung konnte umgangen werden

Wie Sicherheitsexperten von Duo Security, einem Anbieter eigener Lösungen zur Zwei-Faktor-Authentifizierung, herausgefunden haben, lässt sich der „Sicherheitsschlüssel“ vollständig umgehen. Laut Duo Security teilt der PayPal-Server der App mit, ob bei einem Account die Zwei-Faktor-Authentifizierung aktiviert wurde oder nicht. Ein Angreifer kann diese vom Server gesendete Antwort vergleichsweise einfach manipulieren, wodurch die App annimmt, das Konto wäre nicht durch den „Sicherheitsschlüssel“ geschützt.

Anzeige
Anzeige

Anschließend, so das Team von Duo Security, war es ihnen möglich sich nur mit dem Nutzernamen und dem Passwort bei PayPal anzumelden und sogar Transaktionen durchzuführen. Mittlerweile hat PayPal allerdings reagiert und scheint die Sicherheitslücke geschlossen zu haben. In einem Statement gegenüber t3n heißt es:

Anzeige
Anzeige

Über das PayPal Bug Bounty Programm sind wir kürzlich auf einen möglichen Weg hingewiesen worden, die Zwei-Faktor-Authentifizierung (2FA) beim Login-Prozess für eine kleine Zahl unserer mobilen Produkte zu umgehen. Wir möchten unterstreichen, dass alle PayPal-Konten sicher bleiben. Die ermittelte Umgehung bezog sich auf eine zusätzliche Sicherheitsstufe, die einige unserer Kunden ihrem Konto hinzugefügt haben. Die Umgehung wurde direkt an PayPal gemeldet, bevor diese öffentlich gemacht wurde. Als eine Vorsichtsmaßnahme hat PayPal für Kunden, die 2FA gewählt haben, um sich in ihr Konto einzuloggen, vorübergehend die Möglichkeit des Einloggens in ihr PayPal-Konto über die PayPal-App und bestimmte andere mobile Applikationen deaktiviert, bis in Kürze ein Fix implementiert werden kann. Wir bedauern die Unannehmlichkeiten, die hieraus für unsere Kunden entstehen, jedoch hat deren Sicherheit für uns höchste Priorität.

Wer wissen möchte, wie er das eigentlich sehr sinnvolle Sicherheitsfeature bei verschiedenen Web-Diensten aktivieren kann, sollte einen Blick auf unseren Artikel „Jede Hürde zählt: So setzt du die Zwei-Faktor-Authentifizierung bei großen Webseiten ein“ werfen.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare (3)

Community-Richtlinien

Felix

Hallo, ihr habt nicht gut recherchiert.
Man kann sehr wohl 2FA unter IOS nutzen.
Und man benötigt nicht zwingend diese Schlüssel-Hardware.
Man brauch die Symantec-VIP-Access app und muss sein Konto entsprechend dafür einrichten.
Dann kann man in Apps immer im Schema:
sich einloggen.

Die Anleitungen dazu lass ich euch suchen. :P

anderer felix

So oder so ist die Two-Factor-Auth nur freiwillig und damit kein echter Schutz. Der Kunde hat wenig Interesse daran diese Methode zu nutzen weil er das Geld im Zweifelsfall ohnehin zurückerstattet bekommt wenn ihm jemand das Konto ausräumt.

Der Dumme ist meistens der Händler welcher das Geld wieder entzogen bekommt obwohl der die Ware geliefert hat.

Auf Anfrage bei PayPal heisst es: „Leider haben Sie derzeit keine Möglichkeit sich effektiv vor PayPal-Betrügern zu schützen.“

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige