Die Zwei-Faktor-Authentifizierung (2FA) verspricht zusätzliche Sicherheit, wenn einmal Nutzername und Passwort in unbefugte Hände gefallen sind. Bei PayPal wird die Funktion Sicherheitsschlüssel genannt. Wie Sicherheitsexperten von
Prüfung lässt sich umgehen
Die Idee ist einfach. Nutzername und Passwort sollen nicht reichen, um Zugang zum Konto von PayPal zu erlangen. Diese Daten könnten auch auf einem Zettel stehen oder von einem Trojaner erbeutet werden. Es soll noch ein zweiter Faktor für den Zugang notwendig sein, der stärker an die Person gebunden ist. Das kann eine PIN sein, die beim Login per SMS auf das Handy geschickt wird, oder ein weiterer Schlüssel in Form von Hardware.
Das Problem fängt damit an, dass es PayPal-Apps auf mobilen Geräten gibt, die die Zwei-Faktor-Authentifizierung nicht unterstützen. PayPals eigene
Paypal zieht den Stecker
Die App loggt sich aber zuvor für kurze Zeit bei PayPal ein. Dies lässt sich ausnutzen. Die Sicherheitsexperten haben nun eine eigene App gebastelt, die mit dem PayPal-Server kommuniziert und die Schwachstelle ausnutzt. Es ließ sich sogar Geld tranferieren.
Duo Labs hat die Sicherheitslücke PayPal gemeldet, bevor diese veröffentlicht wurde. PayPal reagierte umgehend und deaktivierte den Zugang über diesen Weg. Damit ist auch kein Login mehr über die PayPal-App möglich - bis die Sicherheitslücke mit einem Update endgültig geschlossen wurde.
Quelle: onlinekosten
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
belegt haben, lässt sie sich umgehen, weil sie nicht korrekt umgesetzt wurde.Prüfung lässt sich umgehen
Die Idee ist einfach. Nutzername und Passwort sollen nicht reichen, um Zugang zum Konto von PayPal zu erlangen. Diese Daten könnten auch auf einem Zettel stehen oder von einem Trojaner erbeutet werden. Es soll noch ein zweiter Faktor für den Zugang notwendig sein, der stärker an die Person gebunden ist. Das kann eine PIN sein, die beim Login per SMS auf das Handy geschickt wird, oder ein weiterer Schlüssel in Form von Hardware.
Das Problem fängt damit an, dass es PayPal-Apps auf mobilen Geräten gibt, die die Zwei-Faktor-Authentifizierung nicht unterstützen. PayPals eigene
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
für iOS und
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
gehören auch dazu sowie zahlreiche unabhängiger Entwickler. Über eine PayPal-API teilt der Server der App mit, ob der Nutzer den Sicherheitsschlüssel verwendet oder nicht und sperrt den Zugriff gegebenenfalls.Paypal zieht den Stecker
Die App loggt sich aber zuvor für kurze Zeit bei PayPal ein. Dies lässt sich ausnutzen. Die Sicherheitsexperten haben nun eine eigene App gebastelt, die mit dem PayPal-Server kommuniziert und die Schwachstelle ausnutzt. Es ließ sich sogar Geld tranferieren.
Duo Labs hat die Sicherheitslücke PayPal gemeldet, bevor diese veröffentlicht wurde. PayPal reagierte umgehend und deaktivierte den Zugang über diesen Weg. Damit ist auch kein Login mehr über die PayPal-App möglich - bis die Sicherheitslücke mit einem Update endgültig geschlossen wurde.
Quelle: onlinekosten