Apple untersucht Exploit für kostenlose In-App-Käufe

Apple geht Berichten über eine Methode nach, mit der In-App-Käufe ohne Bezahlung möglich sind. Der Exploit eines russischen Entwicklers erfordert keinen Jailbreak und soll auf allen Geräten mit iOS 3.0 bis iOS 6.0 auszunutzen sein.

Ein Anleitungsvideo, das Entwickler Alexey V. Borodin bei YouTube eingestellt hatte, ließ Apple inzwischen sperren und räumte damit die Schwachstelle indirekt ein. Als Begründung mussten allerdings Copyright-Gründe herhalten: Das Video „In.Appstore.com Get in-app purchases for FREE“ ist „aufgrund des Urheberrechtsanspruchs von Apple, Inc.“ nicht mehr verfügbar.

„Die Sicherheit des App Store ist uns unglaublich wichtig“, erklärte Apple-Sprecherin Natalie Harrison gegenüber News.com. „Wir nehmen Berichte über betrügerische Aktivitäten sehr ernst und untersuchen sie.“

Anders als bei einem früheren Hack dieser Art können auch relativ unerfahrene Nutzer die Methode ohne Jailbreak und in wenigen Schritten anwenden. Es ist im Grunde nur eine Umgehung von Apples Authentifizierungsservern für In-App-Käufe. Die Anfragen werden an einen Dienst von Borodin umgeleitet, der eine Kaufbestätigung an die App zurückliefert. Der Entwickler, der sich auch „ZonD80“ nennt, hat damit eine klassiche Man-in-the-Middle-Attacke umgesetzt.

Angeblich wurden bereits rund 30.000 unbezahlte In-App-Käufe auf diese Weise durchgeführt. Borodin beteuerte gegenüber 9to5Mac, dabei keine Nutzerdaten zu sammeln. Er könnte es jedenfalls, da die Internetverbindung über einen von ihm eingerichteten DNS-Server umgeleitet wird. Erforderlich sind außerdem zwei präparierte CA-Zertifikate auf dem jeweiligen Gerät. Auch aus Sicherheitsgründen ist daher von In-App-Käufen mit dieser Methode abzuraten.

Seine Motivation für den Hack erklärte Borodin mit seinen eigenen hohen Ausgaben für die App CSR Racing, die auch nach den Erfahrungen anderer Nutzer zu kostspieligen In-App-Käufen drängt. Es sei einfach eine Idee gewesen, „eine wütende Idee wegen CSR Racing“.

[mit Material von Josh Lowensohn, News.com]

ZDNet.de Redaktion

Recent Posts

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

2 Stunden ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Stunden ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

20 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

2 Tagen ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

3 Tagen ago