Apple nimmt Exploit für kostenlose In-App-Käufe unter die Lupe

MobileMobile AppsSicherheit

Ein russischer Entwickler macht kostenlose In-App-Käufe ohne Jailbreak möglich. Der Hack umgeht dafür Apples Authentifizierungsserver mittels einer klassischen Man-in-the-Middle-Attacke. Die Anleitung bei YouTube ließ Apple inzwischen entfernen – angeblich wegen Copyright-Verletzungen.

Apple geht Berichten über eine Methode nach, mit der In-App-Käufe ohne Bezahlung möglich sind. Der Exploit eines russischen Entwicklers erfordert keinen Jailbreak und soll auf allen Geräten mit iOS 3.0 bis iOS 6.0 auszunutzen sein. “Die Sicherheit des App Store ist uns unglaublich wichtig”, erklärte Apple-Sprecherin Natalie Harrison gegenüber News.com. “Wir nehmen Berichte über betrügerische Aktivitäten sehr ernst und untersuchen sie.”

Ein Anleitungsvideo, das Entwickler Alexey V. Borodin bei YouTube eingestellt hatte, ließ Apple inzwischen sperren. Der Konzern räumte damit die Schwachstelle indirekt ein. Als Begründung musste allerdings das Copyright herhalten: Das Video “In.Appstore.com Get in-app purchases for FREE” ist “aufgrund des Urheberrechtsanspruchs von Apple, Inc.” nicht mehr verfügbar, heißt es bei YouTube. Allerdings hatten wohl einige Nutzer das Video lokal gespeichert und bieten es inzwischen unter anderem Namen erneut an oder haben einen selbsterstellten Clip zum Thema hochgeladen.

Anders als bei einem früheren Hack dieser Art können auch relativ unerfahrene Nutzer die Methode ohne Jailbreak und in wenigen Schritten anwenden. Es ist im Grunde nur eine Umgehung von Apples Authentifizierungsservern für In-App-Käufe. Die Anfragen werden an einen Dienst von Borodin umgeleitet, der eine Kaufbestätigung an die App zurückliefert. Der Entwickler, der sich auch ZonD80 nennt, hat damit die klassiche Man-in-the-Middle-Attacke umgesetzt.

Angeblich wurden auf diese Weise bereits rund 30.000 unbezahlte In-App-Käufe durchgeführt. Borodin beteuerte gegenüber 9to5Mac, dabei keine Nutzerdaten zu sammeln. Da die Internetverbindung über einen von ihm eingerichteten DNS-Server umgeleitet wird, könnte er es jedenfalls tun. Erforderlich sind außerdem zwei präparierte CA-Zertifikate auf dem jeweiligen Gerät. Nicht nur aus rechtlichen, auch aus Sicherheitsgründen ist daher von In-App-Käufen mit dieser Methode abzuraten.

[mit Material von Josh Lowensohn, News.com]