In-App-Gate
Seit ein paar Tagen (vielleicht ne Woche) geistert eine Anleitung durchs Netz, wie man sich In-App-Käufe auf dem iPhone ohne Bezahlung erschwindeln kann. Dafür muss man 'nur' seinen gesamten Datenverkehr an Apple über einen (ursprünglich russischen) Server leiten, ein SSL-Zertifikat akzeptieren, und dabei vergessen, dass damit das Passwort des iTunes-Store-Accounts auch an den Server in Weitweg geht.
Hintergrund der Geschichte ist, soweit ich das verstanden habe, dass
bei einem In-App-Kauf das iGerät bei Apple anfragt, ob der Kauf so okay
ist. Der User wird dabei nach seinem Passwort gefragt, und die App
bekommt dann eine Bestätigung, wenn der Kauf durchgegangen ist. Die App
kann nun die Bestätigung nochmal an die Apple-Server schicken, ob die
okay ist, was aber in diesem Fall nichts brachte, weil da immer eine 'passt schon'-Antwort zurück kam. Nicht betroffen waren übrigens Apps, die die Überprüfung außerhalb des iGeräts gemacht haben (zum Beispiel auf eigenen Servern), weil die ja nicht durch die verdrehte Einstellung die russische Rechenkiste befragt haben, sondern direkt bei Apple nachgefragt haben.
Apples erste Reaktion darauf war, irgendwie die spezifische IP zu blockieren, was nur dazu geführt hat, dass der Rechner relativ schnell unter einer anderen IP wieder erreichbar war, die offiziellen Stellen zur Beseitigung des Rechners aufzufordern, was soweit ich weiß, nicht sehr erfolgreich war. Dann gab es Versuche damit, dass irgendwelche obskuren Felder mit in die Übertragung einbezogen wurden bei Apple, was aber auch nicht letztendlich geholfen hat.
Am Wochenende hat Apple dann angekündigt, dass in iOS 6 ein Fix enthalten sein soll, wie auch immer der aussehen mag. Und au0erdem haben sie eine Dokumentation veröffentlicht, die mit Codebeispielen zeigt, wie man eine sichere Überprüfung trotz allem erreichen kann. Dass dabei private (und damit eigentlich verbotene) API-Aufrufe genutzt werden, erlaubt Apple ausdrücklich für diesen konkreten Fall. Und wie sich dann herausstellt, reicht das dann bereits, um den 'Hack' auszuhebeln.
Der Sicherheits-Schlecksperte Ponyfe will natürlich schon von Anfang an alles besser gewusst haben. Und dann bleibt noch der komische Nachgeschmack von Leuten, die lieber ihre Daten einem 'vertrauenswürdigen' Russen geben, als die In-App-Käufe einfach zu bezahlen. Wenn die dann rumheulen, weil ihre iTunes-Accounts gehackt wurden, habe ich jedenfalls gerade kein Mitleid verfügbar. Wobei vermutlich nicht viele Leute zugeben dürften, dass sie Funktionen für lau haben wollten, die eigentlich bezahlt werden sollten.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt