Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

PC & Internet PayPals Zwei-Faktor-Authentifizierung ausgehebelt

Die Zwei-Faktor-Authentifizierung (2FA) verspricht zusätzliche Sicherheit, wenn einmal Nutzername und Passwort in unbefugte Hände gefallen sind. Bei PayPal wird die Funktion Sicherheitsschlüssel genannt. Wie Sicherheitsexperten von Duo Labs belegt haben, lässt sie sich umgehen, weil sie nicht korrekt umgesetzt wurde.

Prüfung lässt sich umgehen
Die Idee ist einfach. Nutzername und Passwort sollen nicht reichen, um Zugang zum Konto von PayPal zu erlangen. Diese Daten könnten auch auf einem Zettel stehen oder von einem Trojaner erbeutet werden. Es soll noch ein zweiter Faktor für den Zugang notwendig sein, der stärker an die Person gebunden ist. Das kann eine PIN sein, die beim Login per SMS auf das Handy geschickt wird, oder ein weiterer Schlüssel in Form von Hardware.

Das Problem fängt damit an, dass es PayPal-Apps auf mobilen Geräten gibt, die die Zwei-Faktor-Authentifizierung nicht unterstützen. PayPals eigene Apps für iOS und Android gehören auch dazu sowie zahlreiche unabhängiger Entwickler. Über eine PayPal-API teilt der Server der App mit, ob der Nutzer den Sicherheitsschlüssel verwendet oder nicht und sperrt den Zugriff gegebenenfalls.

Paypal zieht den Stecker

Die App loggt sich aber zuvor für kurze Zeit bei PayPal ein. Dies lässt sich ausnutzen. Die Sicherheitsexperten haben nun eine eigene App gebastelt, die mit dem PayPal-Server kommuniziert und die Schwachstelle ausnutzt. Es ließ sich sogar Geld tranferieren.

Duo Labs hat die Sicherheitslücke PayPal gemeldet, bevor diese veröffentlicht wurde. PayPal reagierte umgehend und deaktivierte den Zugang über diesen Weg. Damit ist auch kein Login mehr über die PayPal-App möglich - bis die Sicherheitslücke mit einem Update endgültig geschlossen wurde.

Quelle: onlinekosten
 
Zurück
Oben