In-App-Verkauf auf dem iPhone (Bild: Apple)
Apple geht Berichten über eine Methode nach, mit der In-App-Käufe ohne Bezahlung möglich sind. Der Exploit eines russischen Entwicklers erfordert keinen Jailbreak und soll auf allen Geräten mit iOS 3.0 bis iOS 6.0 auszunutzen sein.
Ein Anleitungsvideo, das Entwickler Alexey V. Borodin bei YouTube eingestellt hatte, ließ Apple inzwischen sperren und räumte damit die Schwachstelle indirekt ein. Als Begründung mussten allerdings Copyright-Gründe herhalten: Das Video „In.Appstore.com Get in-app purchases for FREE“ ist „aufgrund des Urheberrechtsanspruchs von Apple, Inc.“ nicht mehr verfügbar.
„Die Sicherheit des App Store ist uns unglaublich wichtig“, erklärte Apple-Sprecherin Natalie Harrison gegenüber News.com. „Wir nehmen Berichte über betrügerische Aktivitäten sehr ernst und untersuchen sie.“
Anders als bei einem früheren Hack dieser Art können auch relativ unerfahrene Nutzer die Methode ohne Jailbreak und in wenigen Schritten anwenden. Es ist im Grunde nur eine Umgehung von Apples Authentifizierungsservern für In-App-Käufe. Die Anfragen werden an einen Dienst von Borodin umgeleitet, der eine Kaufbestätigung an die App zurückliefert. Der Entwickler, der sich auch „ZonD80“ nennt, hat damit eine klassiche Man-in-the-Middle-Attacke umgesetzt.
Angeblich wurden bereits rund 30.000 unbezahlte In-App-Käufe auf diese Weise durchgeführt. Borodin beteuerte gegenüber 9to5Mac, dabei keine Nutzerdaten zu sammeln. Er könnte es jedenfalls, da die Internetverbindung über einen von ihm eingerichteten DNS-Server umgeleitet wird. Erforderlich sind außerdem zwei präparierte CA-Zertifikate auf dem jeweiligen Gerät. Auch aus Sicherheitsgründen ist daher von In-App-Käufen mit dieser Methode abzuraten.
Seine Motivation für den Hack erklärte Borodin mit seinen eigenen hohen Ausgaben für die App CSR Racing, die auch nach den Erfahrungen anderer Nutzer zu kostspieligen In-App-Käufen drängt. Es sei einfach eine Idee gewesen, „eine wütende Idee wegen CSR Racing“.
[mit Material von Josh Lowensohn, News.com]
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
