Schwachstelle in Paypals Zwei-Faktor-Authentifizierung entdeckt

Die Sicherheitsfirma Duo Security hat eine Sicherheitslücke aufgedeckt, mit der sich Paypals Zwei-Faktor-Authentifizierung aushebeln ließ. Der Bezahldienst hat das Problem eingeräumt und durch eine Zwischenlösung entschärft. Eine permanente Lösung strebt er bis Ende Juli an.

Die Schwachstelle besteht in der Kommunikation zwischen mobilen Apps und einer API, die Paypals offizielle Apps wie auch die von Drittanbietern und Händlern für die Authentifizierung nutzen. Obwohl Paypals Mobil-Apps Konten mit aktivierter Zwei-Faktor-Authentifizierung (2FA) nicht unterstützen, gelang es den Sicherheitsforschern, sich darüber ohne zweite Authentifizierung bei einem Konto anzumelden und Geld zu überweisen. Sie sprachen dabei die Paypal-API direkt an und täuschten vor, die App greife auf ein Konto ohne Zwei-Faktor-Authentifizierung zu. Ihr Python-Script konnte mit zwei verschieden API-Diensten Paypals kommunizieren – einem für die Authentifizierung und einem weiteren für die Überweisung.

Wenn Anwender die als „Sicherheitsschlüssel“ bezeichnete Zwei-Faktor-Authentifizierung Paypals wählen, bekommen sie einen Bestätigungscode an das Mobiltelefon gesandt – oder benötigen zur Anmeldung ein von Paypal ausgegebenes Gerät in Kreditkartengröße, das einen Sicherheitscode erzeugt. Diese Methode verspricht zusätzliche Sicherheit auch dann, wenn ein Angreifer Benutzernamen und Passwort kennt.

Durch die von Duo Security aufgedeckte und veröffentlichte Schwachstelle lief das Verfahren jedoch ins Leere. Als vorläufige Zwischenlösung hat der Bezahldienst inzwischen dafür gesorgt, dass sich Kunden mit aktivierter Zwei-Faktor-Authentifizierung mit Mobil-Apps von Paypal und anderen Anbietern nicht mehr bei ihrem Konto anmelden können. Mit Mobilgeräten bleibt ihnen nur noch die Möglichkeit, sich durch den Besuch von Paypals mobiler Website anzumelden.

Paypal bezeichnet das als reine Vorsichtsmaßnahme und betont, alle Konten seien jederzeit sicher. „Obwohl 2FA eine zusätzliche Authentifizierungsstufe darstellt, verlässt sich Paypal nicht auf 2FA, um für die Sicherheit der Konten zu sorgen“, heißt es in einer Stellungnahme der Ebay-Tochtergesellschaft. „Wir haben umfangreiche Maßnahmen zur Risiko- und Betrugserkennung, und eigene Sicherheitsteams arbeiten jeden Tag daran, unsere Kundenkonten vor betrügerischen Transaktionen zu schützen.“

Laut Duo Security hofft Paypal, eine endgültige Lösung für das Authentifizierungsproblem bis zum 28. Juli bereitstellen zu können. „Wir werden so schnell wie möglich daran arbeiten, dieses Problem für Sie zu lösen“, versichert der Bezahldienst.

[mit Material von Leon Spencer, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de