Sicherheitslücke bei Online-Bezahldienst

Google Pay und PayPal: Abbuchungslücke soll geschlossen sein

Nach Meldungen über PayPal-Abbuchungen über Google Pay, die von den Nutzern nicht autorisiert worden sein sollen, habe der Bezahldienst die Sicherheitslücke nun im Stillen behoben, heißt es seitens Experten.

© © Davizro Photography / Fotolia.com

Möglicherweise spielt eine Sicherheitslücke beim kontaktlosen Bezahlen eine Rolle bei den aktuellen PayPal-Betrugsfällen.

Innerhalb der letzten vier Wochen scheint PayPal die Sicherheitslücke geschlossen zu haben, die unerlaubte Abbuchungen via Google Pay ermöglicht hatte. Das berichtet heise Security und beruft sich dabei auf den Sicherheitsexperten Markus Fenske, der das Problem schon seit längerem im Blick hat.

Allerdings sei die Verlässlichkeit des Bugfix bisher nicht umfassend getestet worden. Die Einschätzung beruhe lediglich auf individuellen Prüfungen einzelner Nutzer, die alte und neu erzeugte virtuelle Kreditkarten als Zahlungsmittel ausprobiert hatten.

Update vom 27. Februar 2020

Weiter Probleme mit unberechtigten Abbuchungen

Nach dem Auftreten von falschen und unerlaubten PayPal-Abbuchungen von Accounts, die mit Google Pay verbunden sind (Originalmeldung unten), herrschen bei Nutzern nun große Unsicherheit und Verwirrung.

Zwar hat PayPal auf die Beschwerden reagiert und gibt an, dass das Problem behoben sei. Dem widersprechen jedoch Experten - allen voran Markus Fenske, Chef der Sicherheitsfirma exablue GmbH. Fenske ist der Auffassung, dass die gemeldete Sicherheitslücke in der App des Bezahldienstes auch weiterhin bestehe. Er äußerte sich auf Twitter umfassend zur Problematik und gibt an, die Lücke schon vor einem Jahr entdeckt und an PayPal gemeldet zu haben. (Siehe eingebettete Tweets am Ende dieses Artikels.)

Bei der Schwachstelle soll es sich um eine Schwäche in der Erstellung der virtuellen MasterCard handeln, die für das kontaktlose Bezahlen via NFC von der PayPal-App verwendet wird. Bestätigt ist ein Zusammenhang zwischen dieser Sicherheitslücke und den unberechtigten Zahlungen allerdings nicht.

Ungeachtet dessen hat Google begonnen, das Hinzufügen von PayPal als Bezahlmethode in Google Pay zu unterbinden. Während es bei manchen Nutzern derzeit noch möglich zu sein scheint, können andere Accounts PayPal bereits nicht mehr für Google Pay nutzen.

Originalmeldung, 25. Februar 2020

In den Nutzerforen von PayPal und Google Pay finden sich immer mehr Berichte von deutschen Nutzern, die sich über unberechtigte Abbuchungen von ihrem Konto beschweren. In den meisten Fällen soll es sich um Zahlungen an das US-Einzelhandelsunternehmen Target handeln, aber vereinzelt ist auch von Überweisungen an Starbucks die Rede. Die Höhe der unerlaubt abgebuchten Gelder reicht von Kleinstbeträgen bis zu Summen von mehr als 1.000 US-Dollar.

Gemeinsamkeit der betroffenen Konten: Der PayPal-Account wurde mit dem Google-Pay-Account verbunden. Als Vorsichtsmaßname empfiehlt sich daher, diese Verbindung vorerst aufzuheben. Zudem sollte die Zwei-Faktor-Authentifizierung bei PayPal aktiviert sein.

Berichten zufolge könnte eine Sicherheitslücke in der PayPal-App in Verbindung mit der Funktion des kontaktlosen Bezahlens die Schwachstelle sein, die den Betrug ermöglicht hat. Einige Betroffene melden, dass PayPal ihnen bereits eine Rückzahlung zugesichert habe.

Lesetipp: Verfassungsschutz soll Whatsapp-Verschlüsselung umgehen dürfen

PayPal-Kunden, die eine derartige Unregelmäßigkeit feststellen, sollten sich umgehend direkt an den Online-Bezahldienst wenden. Einige Opfer des Betruges haben sich außerdem in einer speziellen Facebook-Gruppe zum Thema zusammengefunden, um Informationen und Hilfe auszutauschen. Bislang gibt es noch keine offizielle Stellungnahme von PayPal oder Google.

Twitter-Thread zur Sicherheitslücke bei PayPal

Mehr lesen

Schutz vor Abofallen

Bezahlen über die Mobilfunkrechnung soll sicherer werden. Die Bundesnetzagentur hat Regeln vorgelegt, die Verbraucher vor Abofallen schützen sollen.

Mehr zum Thema

Aktuelle Angebote im Google Play Store

Spiele, Wetter, Musik & Co.: Wir listen die besten Deals im Google Play Store - aktuell mit 3D EARTH PRO Wetter-App, Sun Locator Pro und mehr.
Kein automatisches Backup für Whatsapp und Co.

Google stoppt das automatische Cloud-Backup von Bildern aus Messenger-Apps wie Whatsapp oder Facebook. Doch das Feature lässt sich reaktivieren.
Maßnahmen gegen Android-Fragmentation

Die Installationszahlen von Android 10 steigen deutlich schneller als bei den Vorgängern. Für Android 11 hat Google weitere Verbesserungen geplant.
Android-Apps und Spiele im Abo

Der Play Pass, Googles Antwort auf die Apple Arcade, startet in Deutschland. Das Abo bietet Zugriff auf Apps und Spiele ohne Werbung und In-App-Käufe.
Aktualisierte und neue Designs

Heute ist Welt-Emoji-Tag. Passend dazu zeigt Google, welche neuen Emojis mit dem Android 11 Update eingeführt werden. Auch Gboard erhält ein Update.