Sicherheitslücke in iTunes ermöglichte gefälschte Rechnungen

Sicherheit
iTunes (Grafik: Apple)

Die vom Sicherheitsforscher Benjamin Kunz Mejri von Vulnerability Lab entdeckte Lücke steckte in Apples App Store und im iTunes Store. Angreifer konnten sich die Tatsache zunutze machen, dass bei der Verarbeitung bestimmter Eingabewerte Fehler auftraten. Apple hat die Sicherheitslücke inzwischen geschlossen.

Benjamin Kunz Mejri, Security Analyst bei Vulnerability Lab, hat eine als kritisch eingestufte Sicherheitslücke im Abrechnungssystem von Apples App Store und iTunes Store entdeckt. Mejri hat Apple am 8. Juni über die Schwachstelle informiert. Das Unternehmen hat die Sicherheitslücke inzwischen behoben. Wann das geschehen ist, ist dem Sicherheitsexperten allerdings nicht bekannt.

iTunes-Symbol (Bild: Apple)

Der von dem Sicherheitsforscher festgestellte Fehler trat auf, weil beide Online-Shops bestimmte Eingaben nicht korrekt prüften. Mejri zufolge ließ sich der Wert “Name” eines gekauften Produkts manipulieren. Bei der Verarbeitung des Eingabewerts für das Produkt kam es dann zur Ausführung des Skript-Codes innerhalb der Apple-Rechnung.

Laut Mejri war ein weiteres Problem, dass für den Käufer und den Verkäufer nur eine Rechnung vorhanden war. Ein Käufer habe sich durch die Nutzung desselben Namens so als Verkäufer ausgeben können. Die Schwachstellen lißeen sich ihm zufolge außer für Betrug auch für Phishing-Angriffe, die Umleitung auf externe Quellen und die Manipulation anderer Shop-Module benutzen. Wie der Angriff funktioniert, zeigt Mejri in einem Video. Zudem hat er inzwischen eine detaillierte Anleitung veröffentlicht.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen