Katz und Maus: In-App-Hacker umgeht Apple erneut

[Christian Blum]

Der russische Hacker Alexey V. Borodin (ZonD80), der letzte Woche ein Schlupfloch entdeckte, welches momentan kostenfreie In-App-Käufe erlaubt, ist trotz aller Bemühungen seitens Apple noch im Spiel. Nachdem Apple den Server zur Aktivierung runterfuhr und das Anleitungsvideo auf Youtube löschen ließ, meldet The Next Web nun, dass der Dienst trotzdem noch aktiv sei. Borodin, der nach eigenen Angaben bereits über 30.000 kostenfreie Einkäufe ermöglichte, ist Apple ein Dorn im Auge: Die Sicherheit des App Stores sei extrem wichtig für Apple und die Entwickler, so ein Statement gegenüber The Loop, und man sei bemüht, die Lücke schnellstens zu schließen. Unbeeindruckt von Apple setzte Borodin seinen Server in einer unbekannten Location neu auf und verbesserte seinerseits die Sicherheit des Systems. Ob man als Nutzer mitmachen sollte, ist fraglich. Nicht nur tauscht man sensible Informationen mit einem unbekannten Server aus, sondern man begibt sich auch an den Rand der Legalität. Prinzipiell, so würde man es vermutlich einordnen, handelt es sich dabei um Diebstahl. Die geschädigten Entwickler hoffen indes darauf, dass Apple das Problem bald schon in den Griff bekommt.[PRBREAK][/PRBREAK]

 

[tobeast]

Was ich besonders interessant an der Geschichte finde: laut der ursprünglichen News von Appleinsider zu dem Thema werden die Account-Details bei den In-App Käufen unverschlüsselt an Apple (bzw. jetzt an den Hacker) übertragen. Wenn dem wirklich so ist, hat Apple extrem geschlampt und sollte da schleunigst nachbessern. Erklärt vielleicht den ein oder anderen Account-Diebstahl wenn die Übertragung kompromittiert wurde...

 

[BriSpe]

An den Rand der Legalität? Ich würde sagen man ist Lichtjahre im Raum der Illegalität!

 

[naich]

Was ich besonders interessant an der Geschichte finde: laut der ursprünglichen News von Appleinsider zu dem Thema werden die Account-Details bei den In-App Käufen unverschlüsselt an Apple (bzw. jetzt an den Hacker) übertragen. Wenn dem wirklich so ist, hat Apple extrem geschlampt und sollte da schleunigst nachbessern.

Nö, da gibt es nix nachzubessern. Das ist bei jeder HTTPS-geschützten Seite so, dass INNERHALB des verschlüsselten Tunnels die Passwörter / Daten so übertragen werden. Da der Angreifer nun einfach die Geräte dazu gebracht hat, ein Tunnel woanders hin aufzubauen, werden die Daten halt auch woanders hin verschlüsselt und am Ende wieder ausgelesen. Für Details lese mal die Kommentare im zugehörigen Golem-Artikel durch.

 

[iDesign]

Ich begebe mich jetzt auf sehr dünnes Eis.

Ich selbst finde es als Entwickler natürlich weniger prickelnd, wenn die entwickelte Software oder Dienstleistung entgegen meiner Zustimmung plötzlich kostenfrei und zumeist illegal im Internet zum Download bereitsteht.

Allerdings erleiden hier Firmen einen Schaden, die mit simplen Apps den Konsumenten zu teuren In-App.-Käufen motivieren wollen (meist in Spielen für Sonderfunktionen). Und wer eine App mit großen Buchstaben als kostenlos bewirbt und den Kunden dann doch zur Kasse bittet, damit er die App vollständig nutzen kann, der muss solche Aktionen auch mal verkraften können und auch mit ihnen rechnen.

Und hier von einem Schaden zu sprechen, na ja... Nutzer dieser illegalen Funktion hätten derartige In-App-Käufe eh nicht durchgeführt.

 

[SeptimusFlyte]

Bei einigen Apps hält sich mein Mitleid etwas in Grenzen!
Seit einiger Zeit ist es Mode geworden, immer mehr Apps, die sonst sicher meist 79 Cent kosten würden, gratis anzubieten um mehr Kunden zu locken und dann per In-App-Kauf sie um mind. das doppelte zur Kasse zu bitten.
Würde der App gleich für diesen Betrag angeboten, würden ihn die meisten erst gar nicht laden. Wer ihn aber einmal hat, zahlt dann auch meist so nach und nach.
Das wissen die Verkäufer und daher jetzt die Masche mit den angeblichen "Gratis"-Apps, von denen es nun immer mehr gibt.
Keine gute Entwicklung!!

 

[Greenie77]

Also ich habe nur ein 2 Apps aus dem Appstore. Ich ziehe doch andere Methoden des Softwarekaufes vor. Ich finde einfach zu wenig Infos zu den Apps im Appstore... dann ist die Suche dermaßen bescheiden das man nie das findet was man sucht. Da finde ich im Netz schneller etwas. Und auf den Anbieterseiten ist oft viel mehr geschrieben über den Funktionsumfang, und kauft man dort direkt statt im Appstore gehen die Updates sogar noch schneller. Der Appstore ist ja total lahm was Updates angeht.

 

[toehm]

Der Vorteil an der inApp Sache ist ja, dass man vorher quasi ein Demo hat, welches man sich sonst nicht umsonst laden könnte, wenn die App meinerwegen 79 ct kosten wuerde. Also durchaus auch ein positiver Nebeneffekt

 

[PeterPaul]

Man müsste doch meinen, dass Apple schnell ein iOS-Update herausbringen könnte, das die TLS Verschlüsselung dahingehend überprüft, dass das Zertifikat vom richtigen Aussteller stammt. Stattdessen wird so ein Unfug getrieben.

 

[Juhulia]

Es gibt keine Sicherheit

Man müsste doch meinen, dass Apple schnell ein iOS-Update herausbringen könnte, das die TLS Verschlüsselung dahingehend überprüft, dass das Zertifikat vom richtigen Aussteller stammt. Stattdessen wird so ein Unfug getrieben.

... und wieder einmal zeigt sich: nichts ist sicher in der digitalen Welt.
Hoffen wir einmal, dass Apple mit den Kundendatem sorgfältiger umgeht
als mit seinen Einnahmen



Ja, ich weiß -- ich bin zu blauäugig (wie mein Vater schon sagte)

 

[SeptimusFlyte]

Aber schön das es die ehrlichen Verkäufer nicht trifft, welche ihren Preis gleich offen auf den Tisch legen und der Kunde genau weiß woran er ist!!
So wie es eigentlich bisher mal ganz normal war.....

 

[hillepille]

Allerdings erleiden hier Firmen einen Schaden, die mit simplen Apps den Konsumenten zu teuren In-App.-Käufen motivieren wollen (meist in Spielen für Sonderfunktionen). Und wer eine App mit großen Buchstaben als kostenlos bewirbt und den Kunden dann doch zur Kasse bittet, damit er die App vollständig nutzen kann, der muss solche Aktionen auch mal verkraften können und auch mit ihnen rechnen.

Das sehe ich ganz anders. Softwarediebstahl ist immer noch kein Kavaliersdelikt in Deutschland sonden Diebstahl. Und alle Entwickler/Firmen über einen Kamm zu scheren wird denen auch nicht gerecht.

 

[Teo]

never mind...

 

[MBSoft]

....wobei die Idee der In-App-Käufe ja nicht auf dem Mist der Entwickler gewachsen ist. Auch solche, die das System jetzt besonders aktiv nutzen (Spiele z.B.) haben sich das weder ausgedacht, noch darum gebeten. Es ist doch Apple gewesen....... frei nach dem Motto: Geld stinkt nicht.
Das ist auch DER Punkt, der mich an Apple in der letzten Zeit sehr stört. Sie sind so geldgierig geworden, dass solche Auswüchse wie die Abkopplung jüngerer Hardware von aktuellen IOS-Versionen und damit auch Softwareangeboten rein aus finanziellen Gründen erfolgt. Als Beispiel sei hier das iPad 1 und der aktuelle iPod touch genannt. Hardware ist identisch, der eine wird noch verkauft = IOS 6-fähig; das andere nicht = no chance.

 

[iPadNerd]

So ein Blödsinn, es handelt sich natürlich nicht um Diebstahl, da dem Entwickler nichts weggenommen wird. Virtuelle Dinge kann man nicht stehlen. Stattdessen erschleicht sich der Anwender widerrechtlich Leistungen. Und natürlich sollte man einem russischen Hacken nicht seine iTunes-Daten frei Haus liefern. Erschreckend, dass dies hier nicht klar kommuniziert wird.