Die Zwei-Faktor-Authentifizierung (2FA) verspricht zusätzliche Sicherheit, wenn einmal Nutzername und Passwort in unbefugte Hände gefallen sind. Bei PayPal wird die Funktion Sicherheitsschlüssel genannt. Wie Sicherheitsexperten von Duo Labs belegt haben, lässt sie sich umgehen, weil sie nicht korrekt umgesetzt wurde.
Prüfung lässt sich umgehen
Die Idee ist einfach. Nutzername und Passwort sollen nicht reichen, um Zugang zum Konto von PayPal zu erlangen. Diese Daten könnten auch auf einem Zettel stehen oder von einem Trojaner erbeutet werden. Es soll noch ein zweiter Faktor für den Zugang notwendig sein, der stärker an die Person gebunden ist. Das kann eine PIN sein, die beim Login per SMS auf das Handy geschickt wird, oder ein weiterer Schlüssel in Form von Hardware.
Das Problem fängt damit an, dass es PayPal-Apps auf mobilen Geräten gibt, die die Zwei-Faktor-Authentifizierung nicht unterstützen. PayPals eigene Apps für iOS und Android gehören auch dazu sowie zahlreiche unabhängiger Entwickler. Über eine PayPal-API teilt der Server der App mit, ob der Nutzer den Sicherheitsschlüssel verwendet oder nicht und sperrt den Zugriff gegebenenfalls.
Paypal zieht den Stecker
Die App loggt sich aber zuvor für kurze Zeit bei PayPal ein. Dies lässt sich ausnutzen. Die Sicherheitsexperten haben nun eine eigene App gebastelt, die mit dem PayPal-Server kommuniziert und die Schwachstelle ausnutzt. Es ließ sich sogar Geld tranferieren.
Duo Labs hat die Sicherheitslücke PayPal gemeldet, bevor diese veröffentlicht wurde. PayPal reagierte umgehend und deaktivierte den Zugang über diesen Weg. Damit ist auch kein Login mehr über die PayPal-App möglich - bis die Sicherheitslücke mit einem Update endgültig geschlossen wurde.
Quelle: onlinekosten
Prüfung lässt sich umgehen
Die Idee ist einfach. Nutzername und Passwort sollen nicht reichen, um Zugang zum Konto von PayPal zu erlangen. Diese Daten könnten auch auf einem Zettel stehen oder von einem Trojaner erbeutet werden. Es soll noch ein zweiter Faktor für den Zugang notwendig sein, der stärker an die Person gebunden ist. Das kann eine PIN sein, die beim Login per SMS auf das Handy geschickt wird, oder ein weiterer Schlüssel in Form von Hardware.
Das Problem fängt damit an, dass es PayPal-Apps auf mobilen Geräten gibt, die die Zwei-Faktor-Authentifizierung nicht unterstützen. PayPals eigene Apps für iOS und Android gehören auch dazu sowie zahlreiche unabhängiger Entwickler. Über eine PayPal-API teilt der Server der App mit, ob der Nutzer den Sicherheitsschlüssel verwendet oder nicht und sperrt den Zugriff gegebenenfalls.
Paypal zieht den Stecker
Die App loggt sich aber zuvor für kurze Zeit bei PayPal ein. Dies lässt sich ausnutzen. Die Sicherheitsexperten haben nun eine eigene App gebastelt, die mit dem PayPal-Server kommuniziert und die Schwachstelle ausnutzt. Es ließ sich sogar Geld tranferieren.
Duo Labs hat die Sicherheitslücke PayPal gemeldet, bevor diese veröffentlicht wurde. PayPal reagierte umgehend und deaktivierte den Zugang über diesen Weg. Damit ist auch kein Login mehr über die PayPal-App möglich - bis die Sicherheitslücke mit einem Update endgültig geschlossen wurde.
Quelle: onlinekosten