Skip to content

In-App-Gate

Seit ein paar Tagen (vielleicht ne Woche) geistert eine Anleitung durchs Netz, wie man sich In-App-Käufe auf dem iPhone ohne Bezahlung erschwindeln kann. Dafür muss man 'nur' seinen gesamten Datenverkehr an Apple über einen (ursprünglich russischen) Server leiten, ein SSL-Zertifikat akzeptieren, und dabei vergessen, dass damit das Passwort des iTunes-Store-Accounts auch an den Server in Weitweg geht. 

Hintergrund der Geschichte ist, soweit ich das verstanden habe, dass bei einem In-App-Kauf das iGerät bei Apple anfragt, ob der Kauf so okay ist. Der User wird dabei nach seinem Passwort gefragt, und die App bekommt dann eine Bestätigung, wenn der Kauf durchgegangen ist. Die App kann nun die Bestätigung nochmal an die Apple-Server schicken, ob die okay ist, was aber in diesem Fall nichts brachte, weil da immer eine 'passt schon'-Antwort zurück kam. Nicht betroffen waren übrigens Apps, die die Überprüfung außerhalb des iGeräts gemacht haben (zum Beispiel auf eigenen Servern), weil die ja nicht durch die verdrehte Einstellung die russische Rechenkiste befragt haben, sondern direkt bei Apple nachgefragt haben.

Apples erste Reaktion darauf war, irgendwie die spezifische IP zu blockieren, was nur dazu geführt hat, dass der Rechner relativ schnell unter einer anderen IP wieder erreichbar war, die offiziellen Stellen zur Beseitigung des Rechners aufzufordern, was soweit ich weiß, nicht sehr erfolgreich war. Dann gab es Versuche damit, dass irgendwelche obskuren Felder mit in die Übertragung einbezogen wurden bei Apple, was aber auch nicht letztendlich geholfen hat.

Am Wochenende hat Apple dann angekündigt, dass in iOS 6 ein Fix enthalten sein soll, wie auch immer der aussehen mag. Und au0erdem haben sie eine Dokumentation veröffentlicht, die mit Codebeispielen zeigt, wie man eine sichere Überprüfung trotz allem erreichen kann. Dass dabei private (und damit eigentlich verbotene) API-Aufrufe genutzt werden, erlaubt Apple ausdrücklich für diesen konkreten Fall. Und wie sich dann herausstellt, reicht das dann bereits, um den 'Hack' auszuhebeln.

Der Sicherheits-Schlecksperte Ponyfe will natürlich schon von Anfang an alles besser gewusst haben. Und dann bleibt noch der komische Nachgeschmack von Leuten, die lieber ihre Daten einem 'vertrauenswürdigen' Russen geben, als die In-App-Käufe einfach zu bezahlen. Wenn die dann rumheulen, weil ihre iTunes-Accounts gehackt wurden, habe ich jedenfalls gerade kein Mitleid verfügbar. Wobei vermutlich nicht viele Leute zugeben dürften, dass sie Funktionen für lau haben wollten, die eigentlich bezahlt werden sollten.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!