Apple untersucht Exploit für kostenlose In-App-Käufe

Ein russischer Entwickler macht kostenlose In-App-Käufe ohne Jailbreak möglich. Der Hack umgeht Apples Authentifizierungsserver für In-App-Käufe. Es ist die klassische Man-in-the-Middle-Attacke.

Apple geht Berichten über eine Methode nach, mit der In-App-Käufe ohne Bezahlung möglich sind. Der Exploit eines russischen Entwicklers erfordert keinen Jailbreak und soll auf allen Geräten mit iOS 3.0 bis iOS 6.0 auszunutzen sein.

Ein Anleitungsvideo, das Entwickler Alexey V. Borodin bei YouTube eingestellt hatte, ließ Apple inzwischen sperren und räumte damit die Schwachstelle indirekt ein. Als Begründung mussten allerdings Copyright-Gründe herhalten: Das Video „In.Appstore.com Get in-app purchases for FREE“ ist „aufgrund des Urheberrechtsanspruchs von Apple, Inc.“ nicht mehr verfügbar.

In-App-Verkauf auf dem iPhone (Bild: Apple)

„Die Sicherheit des App Store ist uns unglaublich wichtig“, erklärte Apple-Sprecherin Natalie Harrison gegenüber News.com. „Wir nehmen Berichte über betrügerische Aktivitäten sehr ernst und untersuchen sie.“

Anders als bei einem früheren Hack dieser Art können auch relativ unerfahrene Nutzer die Methode ohne Jailbreak und in wenigen Schritten anwenden. Es ist im Grunde nur eine Umgehung von Apples Authentifizierungsservern für In-App-Käufe. Die Anfragen werden an einen Dienst von Borodin umgeleitet, der eine Kaufbestätigung an die App zurückliefert. Der Entwickler, der sich auch „ZonD80“ nennt, hat damit eine klassiche Man-in-the-Middle-Attacke umgesetzt.

Angeblich wurden bereits rund 30.000 unbezahlte In-App-Käufe auf diese Weise durchgeführt. Borodin beteuerte gegenüber 9to5Mac, dabei keine Nutzerdaten zu sammeln. Er könnte es jedenfalls, da die Internetverbindung über einen von ihm eingerichteten DNS-Server umgeleitet wird. Erforderlich sind außerdem zwei präparierte CA-Zertifikate auf dem jeweiligen Gerät. Auch aus Sicherheitsgründen ist daher von In-App-Käufen mit dieser Methode abzuraten.

Seine Motivation für den Hack erklärte Borodin mit seinen eigenen hohen Ausgaben für die App CSR Racing, die auch nach den Erfahrungen anderer Nutzer zu kostspieligen In-App-Käufen drängt. Es sei einfach eine Idee gewesen, „eine wütende Idee wegen CSR Racing“.

[mit Material von Josh Lowensohn, News.com]

Themenseiten: Apple, Mobile, iPad, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Apple untersucht Exploit für kostenlose In-App-Käufe

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *