PayPal & Google Pay: Sicherheits­lücke schon lange bekannt

Google Pay mit PayPal
Foto: teltarif.de Wie berichtet kam es bei Google-Pay-Nutzern, die eine virtu­elle Debit MasterCard von PayPal als Zahlungs­methode verwenden, in den vergan­genen Tagen zu unau­tori­sierten Abbu­chungen. Hinter­grund ist offenbar eine Sicher­heits­lücke bei PayPal, wie Caschys Blog berichtet. Diese sei bereits vor einem Jahr vom Cyber­sicher­heits­experten Andreas Mayer gefunden und an PayPal gemeldet worden. Dafür habe Mayer sogar eine Beloh­nung erhalten. Geschlossen wurde das Leck aber nicht.

Um das Daten-Leck auszu­nutzen, ist es aller­dings erfor­derlich, mindes­tens einmal Zugriff auf das Smart­phone betrof­fener Nutzer zu bekommen. Die virtu­elle Debit MasterCard von PayPal, die bei Google Pay zum Einsatz komme, lasse sich dann mit belie­bigen Card­reader-Apps auslesen, solange das Display des Tele­fons einge­schaltet und PayPal als Zahlungs­methode bei Google Pay hinter­legt sei.

Die ausge­lesene virtu­elle Karte lasse sich in der Folge für Online-Trans­aktionen nutzen. Eine Prüfung des CVC-Codes gebe es dabei nicht. Wört­lich heißt es: "Jeder, der an dem Handy des Opfers vorbei geht (Bild­schirm muss an sein, was in der Hosen­tasche leicht passiert), hat eine voll­wertige virtu­elle Kredit­karte ausge­lesen und kann sich damit, auch Monate später, am PayPal-Account des Opfers bedienen." Das sei jetzt von der orga­nisierten Krimi­nalität ausge­nutzt worden.

PayPal aus Google Pay entfernen

Google Pay mit PayPal
Foto: teltarif.de Um Miss­brauch beim eigenen Account zu vermeiden, sollte die virtu­elle PayPal-MasterCard aus Google Pay entfernt werden. Das helfe natür­lich nur für den Fall, dass die Karte nicht bereits ausge­lesen wurde. Erste Nutzer, die nicht auto­risierte Abbu­chungen bemän­gelt hätten, seien die Beträge unter­dessen zurück­erstattet worden. Wie es im Bericht weiter heißt, ließen sich Karten­nummer und Ablauf­datum der virtu­ellen PayPal-Karte bei Google Pay in der Tat per NFC auslesen und für Online-Trans­aktionen nutzen. Dabei sei ein belie­biger CVC-Code, etwa 000, nutzbar gewesen.

PayPal beteu­erte in einer Stel­lung­nahme zwar, seine Verant­wortung gegen­über Nutzern "sehr ernst" zu nehmen und "in den Berei­chen Betrugs­präven­tion und Risi­koma­nage­ment moderne Tech­nolo­gien einzu­setzen", um sichere Zahlungen zu ermög­lichen und die Kunden zu schützen. Umso unver­ständ­licher ist es, dass der Anbieter eine derart große Sicher­heits­lücke, die seit einem Jahr bekannt ist, nicht umge­hend geschlossen hat.

Gene­rell scheint PayPal die Koope­ration mit Google Pay eher halb­herzig zu verfolgen. So ist es bis heute nicht möglich, neben Smart­phones auch Smart­watches für den mobilen Bezahl­dienst zu verwenden, wie es bei (nahezu) jeder anderen Kredit­karte, die für Google Pay zum Einsatz kommt, möglich ist.

Mehr zum Thema Google Pay

• 16.04.24 - Google Pay in Kürze bei weiterer Bank verfügbar
• 11.04.24 - Tankrechnung per App bezahlen: 680 Tankstellen neu dabei
• 21.03.24 - Smartphone, Uhr, Ring & Co.: Damit bezahlen Sie mobil
• 26.02.24 - Concept AI Phone: Telekom zeigt Smartphone ohne Apps
• 24.02.24 - Google Pay App wird eingestellt - aber nicht überall
• 23.01.24 - Google Pay: Diese Banken sind neu dabei
• 16.01.24 - Kontaktlos zahlen: Girocard mit Maestro noch verfügbar
• 06.01.24 - Fakten zum Digitalen Euro: Das ist richtig, das ist falsch
• 21.12.23 - bunq: Gratis-Mastercard für Apple Pay & Google Pay
• 11.12.23 - Jubiläum: Fünf Jahre Apple Pay in Deutschland
• 25.10.23 - Bericht: Postfilialen ermöglichen Kreditkarten-Zahlungen
• 20.10.23 - 15 Jahre Android: So hat sich die Google-Software entwickelt
• 18.10.23 - Währung: Fragen und Antworten zum digitalen Euro
• 09.09.23 - Bitkom: Trend zum kontaktlosen Bezahlen setzt sich fort
• 24.08.23 - Girocard: Zahlungsmittel "in jeder denkbaren Situation"
• 26.07.23 - Amazon Visa wird eingestellt: So geht es für Kunden weiter
• 23.07.23 - Tank-Apps: Direkt an der Zapfsäule mit Google Pay bezahlen
• 11.07.23 - Miles & More Kreditkarte: Bleibt Google Pay erhalten?
• 09.07.23 - Ausprobiert: Samsung Pay auf neues Smartphone umziehen
• 02.07.23 - Google Pay fürs iPhone: So wäre es möglich
• 27.06.23 - Bezahlen per Handy: Weitere Bank bietet jetzt Google Pay an
• 24.06.23 - Hände weg von importierten Sam­sung-Smartphones
• 19.06.23 - Girocard & Kreditkarte: Mehrheit zahlt bargeldlos
• 27.05.23 - Tipps: Schnell reagieren bei Karten- oder Handyverlust
• 26.05.23 - Ryd & Telekom: 10 Cent pro Liter Benzin sparen
• 24.03.23 - Sparkassen: So erfolgreich sind Apple Pay & Co.
• 20.03.23 - Google Pay: Neue Partner-Banken und App-Update
• 06.03.23 - Ryd: Tanken per App ohne An­meldung bezahlen
• 15.02.23 - Girocard: Bald kontaktlos mit Handy und Uhr bezahlen
• 07.02.23 - Apple & Google Wallet: Die "EC-Karte" soll aufs Handy
• 16.01.23 - Gravis: Apple-Händler verbannt Bar­geld aus seinen Filialen
• 21.12.22 - Diese Banken bieten Google Pay jetzt in Deutschland an
• 16.12.22 - Google Wallet: Ausweise abspeichern geht in die Beta-Phase
• 14.12.22 - Google Pay bei weiteren Banken in Deutschland
• 09.12.22 - American Express unterstützt ab sofort Google Pay
• 19.11.22 - Telekom bringt neue Features in die MeinMagenta App
• 25.09.22 - Tegut Teo im Test: Einkauf per App und ohne Personal
• 04.09.22 - Relaunch: Die TFBank-App im Test
• 27.08.22 - Ryd: Tankrechnung per App direkt an der Säule bezahlen
• 06.08.22 - So gehts: Bordkarte in Google Wallet speichern
• mehr…