PayPals Zwei-Faktor-Authentifizierung lässt sich ganz einfach aushebeln, indem man die
PayPals iOS-App fragt nicht mal nach dem Sicherheits-Code des Hardware-Tokens
PayPal bietet seit Jahren eine Zwei-Faktor-Anmeldung für seinen Dienst an. Diese funktioniert sowohl über ein Hardware-Gerät, ein umetikettiertes Verisign-VIP-Token, oder auch durch Zusendung einer einmalig benutzbaren TAN per SMS ans Mobiltelefon. Gibt der Besitzer des Kontos Benutzername und Passwort korrekt ein, muss er ebenfalls einen Einmal-Code von seinem Hardware-Token abrufen oder sich eine TAN per SMS senden lassen. So kann ein Angreifer, der im Besitz des Passwortes für einen Account gelangt ist, diesen trotzdem nicht angreifen, da ihm der zweite Authenfizierungsfaktor fehlt. Der legitime Besitzer des Kontos kann mehrere dieser Geräte in seinen Kontoeinstellungen autorisieren und auch wieder entfernen.
Diese eigentlich sehr sichere Methode relativiert PayPal von Haus aus in ihrer Sicherheit, weil der Nutzer – oder ein Angreifer – auch die Wahl hat, ohne den zweiten Faktor auf das Konto zuzugreifen. Bei der Web-Anmeldung werden hier aber wenigstens die Sicherheitsfragen des Kontos abgefragt. Das ist zwar streng genommen keine
Die iOS-App von PayPal führt den ganzen Prozess dann aber endgültig ad absurdum, da sie den Zugang zum Konto mit Nutzername und Passwort eröffnet. Und das, ohne dass der Nutzer die App als vertrauenswürdiges Gerät freischalten müsste oder überhaupt ein iOS-Gerät besitzt. Das eigentliche Problem ist dabei ohnehin nicht die iOS-App sondern der PayPal-Server, der sich bei der Anmeldung offenbar mit Benutzername und Passwort zufrieden gibt.
In Tests von heise Security gelang es, sowohl bei aktivierter Anmeldung mit dem Hardware-Token, als auch bei deaktiviertem Token und bei vorausgesetzter SMS-TAN-Anmeldung, einfach durch Eingabe unseres Passworts vollen Zugriff auf ein Testkonto zu erlangen. An diesem Punkt hätte ein Angreifer Geld auf ein beliebiges Bank-Konto abheben oder beliebige Zahlungen per PayPal tätigen können.
Die aktuelle
Quelle: heise
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
des Online-Bezahldienstes installiert. Es stellt sich heraus, dass diese momentan nicht einmal nach dem zweiten Faktor fragt. Das erlaubt einem Angreifer, die zusätzliche Sicherheit eines PayPal-Kontos mit aktivierter Zwei-Faktor-Anmeldung einfach zu neutralisieren – es genügt, den Nutzernamen und das Passwort des Opfers zu kennen. Damit ist es momentan sinnlos, diese zusätzliche Sicherheitsfunktion überhaupt zu aktivieren. Sie hat nur einen Effekt: Der zusätzliche Code bereitet dem legitimen Nutzer des Kontos zusätzliche Umstände, ein Angreifer hingegen kann das einfach umgehen.
PayPals iOS-App fragt nicht mal nach dem Sicherheits-Code des Hardware-Tokens
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
PayPal bietet seit Jahren eine Zwei-Faktor-Anmeldung für seinen Dienst an. Diese funktioniert sowohl über ein Hardware-Gerät, ein umetikettiertes Verisign-VIP-Token, oder auch durch Zusendung einer einmalig benutzbaren TAN per SMS ans Mobiltelefon. Gibt der Besitzer des Kontos Benutzername und Passwort korrekt ein, muss er ebenfalls einen Einmal-Code von seinem Hardware-Token abrufen oder sich eine TAN per SMS senden lassen. So kann ein Angreifer, der im Besitz des Passwortes für einen Account gelangt ist, diesen trotzdem nicht angreifen, da ihm der zweite Authenfizierungsfaktor fehlt. Der legitime Besitzer des Kontos kann mehrere dieser Geräte in seinen Kontoeinstellungen autorisieren und auch wieder entfernen.
Diese eigentlich sehr sichere Methode relativiert PayPal von Haus aus in ihrer Sicherheit, weil der Nutzer – oder ein Angreifer – auch die Wahl hat, ohne den zweiten Faktor auf das Konto zuzugreifen. Bei der Web-Anmeldung werden hier aber wenigstens die Sicherheitsfragen des Kontos abgefragt. Das ist zwar streng genommen keine
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
mehr, da der Nutzer im Grunde nur zwei verschiedene Passwörter (zwei Dinge, die er weiß) kennen muss und keinen zweiten Faktor (etwas, das er besitzt) benötigt, aber es ist im besten Fall immer noch sicherer als eine einfache Passwort-Anmeldung. Das setzt natürlich voraus, dass die Antworten auf die Sicherheitsfragen gut gewählt sind und nicht erraten oder durch Recherche herausgefunden werden können.Die iOS-App von PayPal führt den ganzen Prozess dann aber endgültig ad absurdum, da sie den Zugang zum Konto mit Nutzername und Passwort eröffnet. Und das, ohne dass der Nutzer die App als vertrauenswürdiges Gerät freischalten müsste oder überhaupt ein iOS-Gerät besitzt. Das eigentliche Problem ist dabei ohnehin nicht die iOS-App sondern der PayPal-Server, der sich bei der Anmeldung offenbar mit Benutzername und Passwort zufrieden gibt.
In Tests von heise Security gelang es, sowohl bei aktivierter Anmeldung mit dem Hardware-Token, als auch bei deaktiviertem Token und bei vorausgesetzter SMS-TAN-Anmeldung, einfach durch Eingabe unseres Passworts vollen Zugriff auf ein Testkonto zu erlangen. An diesem Punkt hätte ein Angreifer Geld auf ein beliebiges Bank-Konto abheben oder beliebige Zahlungen per PayPal tätigen können.
Die aktuelle
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
von PayPal ist indes gar nicht benutzbar. Beim Testen konnten wir uns zwar nur mit Nutzernamen und Passwort einloggen, wurden aber sofort wieder abgemeldet. Bevor wir wieder ausgeloggt wurden, konnten wir allerdings einen kurzen Blick auf die in unserem PayPal-Account hinterlegte Bankverbindung erhaschen; der Name der Bank war klar zu erkennen. Und das auf einem Telefon, auf dem der Test-Account vorher nie eingerichtet war. Es scheint momentan nicht möglich, Paypal mit der Android-App bei eingeschalteter Zwei-Faktor-Authentifizierung überhaupt zu benutzen.Quelle: heise
