Google Pay und PaypalSicherheitslücke beim Bezahlen mit dem Handy

Mit dem Handy zu bezahlen, ist bequem. Einfach aufs Terminal halten, fertig. Nur: Manchmal sind Zahlvorgänge nicht ausreichend abgesichert. Wie ein aktueller Fall zeigt.

Bargeldloses Bezahlen mit dem Handy wird in Deutschland zwar beliebter, ist aber immer noch nicht das große Ding geworden, das sich manche Anbieter erhoffen - zum Beispiel Paypal, Apple, Google und manche Banken.

Google hat vor eineinhalb Jahren den Dienst "Pay" an den Start gebracht, die Nutzerzahlen dafür steigen seitdem. Doch jetzt hat Google Pay mit Negativschlagzeilen zu kämpfen: Bei manchen Nutzerinnen und Nutzern verschwindet einfach so Geld vom Konto.

Bis zu 1000 Euro weg

Betroffen sind wohl nur jene, die ihr Google-Pay- mit ihrem Paypal-Konto verknüpft haben - dafür aber ist die Summe teilweise stattlich, es geht um Zahlungen bis zu 1000 Euro.

Hinter dem Angriff stecken wohl Kriminelle, die möglicherweise ein Sicherheitsproblem zwischen den beiden Zahlungsdienstleistern ausnutzen, das schon seit mindestens einem Jahr bestehen soll.

Keine ausreichende Prüfung der Kreditkarte

Paypal und Google äußern sich zwar bislang nicht zu Details, das deutsche IT-Sicherheitsunternehmen Exablue hat das Problem aber analysiert:

Damit Google Pay funktioniert, generiert Paypal eine virtuelle Kreditkarte, mit der man dann kontaktlos in den Geschäften an den Kassenterminals mit dem Handy bezahlen kann. Doch offenbar gibt es in diesem Prozess keine ausreichende Prüfung der Kartenprüfnummer CVC (die Zahl, die hinten auf der Kreditkarte steht) durch Paypal bei Zahlungsvorgängen.

Auch der Name des Karteninhabers wird nicht geprüft.

Das wiederum hat zur Folge, dass Kriminelle lediglich die Kreditkartennummer dieser virtuellen Karte des Opfers und das Ablaufdatum ausspionieren müssen – und dann mit fremdem Geld einkaufen können. Das Ausspionieren dieser Nummer ist relativ einfach möglich, man muss mit einem NFC-Gerät nur nah genug an das Handy rankommen.

"Am besten erstmal Paypal als Zahlungsmittel aus dem Google-Pay-Konto entfernen, bis die Sache aufgeklärt ist."
Andreas Noll, Deutschlandfunk-Nova-Reporter

Die Sicherheitsforscher halten diese Variante für möglich, sind aber nicht ganz sicher, ob es wirklich so gewesen ist. Es gibt nämlich noch eine andere Möglichkeit: Die Kreditkartennummern mehr oder weniger einfach raten.

Paypal hat inzwischen zugegeben, dass es ein Sicherheitsproblem gibt und versichert, sich gekümmert zu haben. Nur: Am Dienstagnachmittag (25.02.) konnten die Sicherheitsexperten die Lücke immer noch ausnutzen.

Empfehlung von Deutschlandfunk-Nova-Reporter Andreas Noll: Am besten erstmal Paypal als Zahlungsmittel aus dem Google-Pay-Konto entfernen, bis die Sache aufgeklärt ist.

Die Betroffenen bekommen den finanziellen Schaden ersetzt.