In-App-Verkauf auf dem iPhone (Bild: Apple)
Apple geht Berichten über eine Methode nach, mit der In-App-Käufe ohne Bezahlung möglich sind. Der Exploit eines russischen Entwicklers erfordert keinen Jailbreak und soll auf allen Geräten mit iOS 3.0 bis iOS 6.0 auszunutzen sein.
Ein Anleitungsvideo, das Entwickler Alexey V. Borodin bei YouTube eingestellt hatte, ließ Apple inzwischen sperren und räumte damit die Schwachstelle indirekt ein. Als Begründung mussten allerdings Copyright-Gründe herhalten: Das Video „In.Appstore.com Get in-app purchases for FREE“ ist „aufgrund des Urheberrechtsanspruchs von Apple, Inc.“ nicht mehr verfügbar.
„Die Sicherheit des App Store ist uns unglaublich wichtig“, erklärte Apple-Sprecherin Natalie Harrison gegenüber News.com. „Wir nehmen Berichte über betrügerische Aktivitäten sehr ernst und untersuchen sie.“
Anders als bei einem früheren Hack dieser Art können auch relativ unerfahrene Nutzer die Methode ohne Jailbreak und in wenigen Schritten anwenden. Es ist im Grunde nur eine Umgehung von Apples Authentifizierungsservern für In-App-Käufe. Die Anfragen werden an einen Dienst von Borodin umgeleitet, der eine Kaufbestätigung an die App zurückliefert. Der Entwickler, der sich auch „ZonD80“ nennt, hat damit eine klassiche Man-in-the-Middle-Attacke umgesetzt.
Angeblich wurden bereits rund 30.000 unbezahlte In-App-Käufe auf diese Weise durchgeführt. Borodin beteuerte gegenüber 9to5Mac, dabei keine Nutzerdaten zu sammeln. Er könnte es jedenfalls, da die Internetverbindung über einen von ihm eingerichteten DNS-Server umgeleitet wird. Erforderlich sind außerdem zwei präparierte CA-Zertifikate auf dem jeweiligen Gerät. Auch aus Sicherheitsgründen ist daher von In-App-Käufen mit dieser Methode abzuraten.
Seine Motivation für den Hack erklärte Borodin mit seinen eigenen hohen Ausgaben für die App CSR Racing, die auch nach den Erfahrungen anderer Nutzer zu kostspieligen In-App-Käufen drängt. Es sei einfach eine Idee gewesen, „eine wütende Idee wegen CSR Racing“.
[mit Material von Josh Lowensohn, News.com]
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
