PayPal: Zweiter Faktor optional

Die iOS-App des Bezahldienstes PayPal kann sich ohne zusätzlichen Code aus Hardware-Token oder SMS beim Server anmelden, selbst wenn der Benutzer Zwei-Faktor-Authentifizierung aktiviert hat. Das führt das Sicherheitskonzept ad absurdum.

In Pocket speichern vorlesen Druckansicht 36 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Fabian A. Scherschel

PayPals iOS-App fragt nicht mal nach dem Sicherheits-Code des Hardware-Tokens

PayPals Zwei-Faktor-Authentifizierung lässt sich ganz einfach aushebeln, indem man die iOS-App des Online-Bezahldienstes installiert. Es stellt sich heraus, dass diese momentan nicht einmal nach dem zweiten Faktor fragt. Das erlaubt einem Angreifer, die zusätzliche Sicherheit eines PayPal-Kontos mit aktivierter Zwei-Faktor-Anmeldung einfach zu neutralisieren – es genügt, den Nutzernamen und das Passwort des Opfers zu kennen. Damit ist es momentan sinnlos, diese zusätzliche Sicherheitsfunktion überhaupt zu aktivieren. Sie hat nur einen Effekt: Der zusätzliche Code bereitet dem legitimen Nutzer des Kontos zusätzliche Umstände, ein Angreifer hingegen kann das einfach umgehen.

PayPal bietet seit Jahren eine Zwei-Faktor-Anmeldung für seinen Dienst an. Diese funktioniert sowohl über ein Hardware-Gerät, ein umetikettiertes Verisign-VIP-Token, oder auch durch Zusendung einer einmalig benutzbaren TAN per SMS ans Mobiltelefon. Gibt der Besitzer des Kontos Benutzername und Passwort korrekt ein, muss er ebenfalls einen Einmal-Code von seinem Hardware-Token abrufen oder sich eine TAN per SMS senden lassen. So kann ein Angreifer, der im Besitz des Passwortes für einen Account gelangt ist, diesen trotzdem nicht angreifen, da ihm der zweite Authenfizierungsfaktor fehlt. Der legitime Besitzer des Kontos kann mehrere dieser Geräte in seinen Kontoeinstellungen autorisieren und auch wieder entfernen.

Diese eigentlich sehr sichere Methode relativiert PayPal von Haus aus in ihrer Sicherheit, weil der Nutzer – oder ein Angreifer – auch die Wahl hat, ohne den zweiten Faktor auf das Konto zuzugreifen. Bei der Web-Anmeldung werden hier aber wenigstens die Sicherheitsfragen des Kontos abgefragt. Das ist zwar streng genommen keine Zwei-Faktor-Authentifizierung mehr, da der Nutzer im Grunde nur zwei verschiedene Passwörter (zwei Dinge, die er weiß) kennen muss und keinen zweiten Faktor (etwas, das er besitzt) benötigt, aber es ist im besten Fall immer noch sicherer als eine einfache Passwort-Anmeldung. Das setzt natürlich voraus, dass die Antworten auf die Sicherheitsfragen gut gewählt sind und nicht erraten oder durch Recherche herausgefunden werden können.

Die iOS-App von PayPal führt den ganzen Prozess dann aber endgültig ad absurdum, da sie den Zugang zum Konto mit Nutzername und Passwort eröffnet. Und das, ohne dass der Nutzer die App als vertrauenswürdiges Gerät freischalten müsste oder überhaupt ein iOS-Gerät besitzt. Das eigentliche Problem ist dabei ohnehin nicht die iOS-App sondern der PayPal-Server, der sich bei der Anmeldung offenbar mit Benutzername und Passwort zufrieden gibt.

In Tests von heise Security gelang es, sowohl bei aktivierter Anmeldung mit dem Hardware-Token, als auch bei deaktiviertem Token und bei vorausgesetzter SMS-TAN-Anmeldung, einfach durch Eingabe unseres Passworts vollen Zugriff auf ein Testkonto zu erlangen. An diesem Punkt hätte ein Angreifer Geld auf ein beliebiges Bank-Konto abheben oder beliebige Zahlungen per PayPal tätigen können.

Die aktuelle Android-App von PayPal ist indes gar nicht benutzbar. Beim Testen konnten wir uns zwar nur mit Nutzernamen und Passwort einloggen, wurden aber sofort wieder abgemeldet. Bevor wir wieder ausgeloggt wurden, konnten wir allerdings einen kurzen Blick auf die in unserem PayPal-Account hinterlegte Bankverbindung erhaschen; der Name der Bank war klar zu erkennen. Und das auf einem Telefon, auf dem der Test-Account vorher nie eingerichtet war. Es scheint momentan nicht möglich, Paypal mit der Android-App bei eingeschalteter Zwei-Faktor-Authentifizierung überhaupt zu benutzen. (fab)