iOS 6 immun gegen Hack für kostenlose In-App-Käufe

Der russische Hacker, dessen Man-in-the-Middle-Methode kostenlose In-App-Käufe ermöglicht, bestätigt dies in seinem Blog: Derzeit sieht er keine Chance, den Schutzmechanismus in iOS 6 zu umgehen. Ein sicheres Verfahren für iOS 5 schildert Apple in einem Support-Dokument.

Die Methode, die das Bezahlen von In-App-Käufen aushebelt, wird laut ihrem Schöpfer unter iOS 6 nicht mehr funktionieren. „Derzeit besteht keine Möglichkeit, die aktualisierte API zu umgehen“, schreibt Alexei Borodin auf seiner Website.

In-App-Verkauf auf dem iPhone (Bild: Apple)In-App-Verkauf auf dem iPhone (Bild: Apple)

Wie Entwickler die Schwachstelle in der aktuellen iOS-Version schließen können, hat Apple in einem Support-Dokument erläutert. Dazu ist es erforderlich, dass digitalen Quittungen verschlüsselt und durch zwei zuvor private APIs verifiziert werden. Die Überprüfung erfolgt vermutlich anhand der UDID, die jedem Gerät zugeordnet ist und es eindeutig identifiziert. Im vergangenen Jahr hatte Apple den App-Entwicklern die Nutzung der UDID (Unique Device Identifier) untersagt, nachdem das gängige Tracking der Nutzer in die Kritik kam.

Während Apple die von Borodin entdeckten Sicherheitslücken in seinen mobilen Betriebssystemen nun offenbar geschlossen hat, hat der Hacker eine Schwachstelle im Desktop-Betriebssystem entdeckt, mit der man ebenfalls die Bezahlung von In-App-Käufen umgehen kann. Sein neuer Dienst „In-Appstore for OS X“ nutzt ebenfalls eine klassische Man-in-the-Middle-Attacke zur Umgehung von Apples Authentifizierungsservern. Die Anwender müssen dafür zwei präparierte Zertifikate installieren und in den WLAN-Einstellungen einen anderen DNS-Server bestimmen. Zusätzlich müssen sie die Anwendung „Grim Receiper“ laufen lassen, die Orginalquittungen des Mac App Store aufzeichnet.

Die Anwendungen akzeptieren dann von Borodin bereitgestellte Server anstelle der Apple-Server und halten die vorgenommenen In-App-Käufe für bezahlt. Während beim iOS-Hack angeblich massenhaft unbezahlte In-App-Käufe durchgeführt wurden, dürften sie sich bei den Anwendungen aus dem Mac App Store in Grenzen halten. Anders als bei den beliebten Spielen für iPhone und iPad gibt es hier weniger Anwendungen mit zusätzlichen zahlungspflichtigen Inhalten.

[mit Material von Josh Lowensohn, News.com]

Themenseiten: Apple, Hacker, Mobile, iOS, iOS 6, iPad, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Kai Schmerer
Autor: Kai Schmerer
Chefredakteur
Kai Schmerer Kai Schmerer Kai Schmerer Kai Schmerer
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu iOS 6 immun gegen Hack für kostenlose In-App-Käufe

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *