Jul 13: Russische Hacker umgehen In-App Käufe ohne Jailbreak [UPDATE]

Zugegeben, ich bin kein großer Freund der In-App Purchases. Und das sage ich, obwohl das Spendesystem innerhalb meiner App darauf basiert. Die Verwendung dieser Funktion hat allerdings dazu geführt, dass viele Entwickler nur noch "halbe" Apps kostenlos oder günstig in den AppStore stellen und man dann innerhalb der App weiter zur Kasse gebeten wird. Statistiken zeigen inzwischen, dass die User dabei deutlich mehr ausgeben, als sie normalerweise für den Kauf einer App bereit wären zu zahlen. Aus wirtschaftlicher Sicht also ein absolut nachvollziehbarer Schritt mancher Entwickler. Beliebt macht man sich damit aber oft nicht. Der Meinung sind wohl auch ein paar russische Hacker, die nun einen Weg gefunden haben, der App vorzugaukeln, dass ein In-App Purchases erfolgreich durchgeführt wurde, in Wahrheit aber gar nicht gezahlt wurde. Dies ist auf jedem iOS-Gerät vollkommen ohne Jailbreak möglich. Man installiert dazu lediglich zwei von den Hackern zum Download angebotene iPhone-Zertifikate, die die DNS-Einstellungen auf dem Gerät ändern und über einen modifizierten HTTP-Header dem Gerät anschließend den erfolgreichen In-App Kauf vortäuschen. In der Informatik spricht man dabei von einem "Man-in-the-Middle" Angriff.

An dieser Stelle wird sich der eine oder andere Leser evtl. den Download-Link zu den beiden angesprochenen Zertifikaten und eine Anleitung zur Vorgehensweise wünschen. Auf diesen verzichte ich an dieser Stelle (anders als diverse andere Apple-Seiten) jedoch ganz bewusst und spreche stattdessen eine deutliche Warnung vor der angesprochenen Vorgehensweise aus. Denn während man auf diese Weise vielleicht den einen oder anderen Euro sparen kann, könnte man an anderer Stelle deutlich teurer bezahlen - nämlich mit seinen Daten. So werden im Hintergrund Daten von dem Gerät auf die russischen Server übertragen. Welche genau ist dabei unklar. Fakt ist aber, dass ich niemandem irgendwelche Daten auf diese Weise geben möchte.

Darüber hinaus sollte einem bewusst sein, dass man damit nichts weiter als Diebstahl betreibt. Die Preise im AppStore sind ohnehin bereits soweit im Keller, dass nur die wenigsten kleinen Entwickler davon leben können. Schadet man ihnen auch noch auf diese Weise, ist damit auf lange Sicht niemandem geholfen. Daher also der Aufruf, die Finger davon zu lassen. Zum Wohle der eigenen Daten und zum Wohle des AppStore.

Von Apple gibt es aktuell keine Stellungnahme. Allerdings merkt Matt Panzarino korrekt an, dass entsprechend abgesicherte In-App Purchases deutlich schwieriger zu hacken sind. Apple liefert seinen Entwicklern hierfür sogar eine entsprechende Dokumentation.

UPDATE: Inzwischen hat sich Apple gegenüber The Loop zu dem Thema mit den folgenden Worten geäußert: "The security of the App Store is incredibly important to us and the developer community,” Apple representative Natalie Harrison, told The Loop. “We take reports of fraudulent activity very seriously and we are investigating."

Geschrieben von Florian Schimanke am Freitag, 13. Juli 2012 um 18:21 in AppStore
Kommentare: (15) Trackbacks: (0)
Tags für diesen Artikel: , ,
Artikel mit ähnlichen Themen:

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

#1 - Hermann 13.07.2012 18:29 - (Antwort)

Danke das jemand das Thema auch mal aus einer anderen Perspektive betrachtet! Auf allen anderen Seiten hört sich die Meldung an als sollte der Hacker den Nobelpreis gewinnen.

Ich bin ganz deiner Meinung, Flo!

#2 - Tom 13.07.2012 18:31 - (Antwort)

sehe ich ganz genau so. die paar kröten sollte jeder iphone besitzer übrig haben. ich fahre ja auch nicht an die tanke, mache meine karre randvoll und fahre dann ohne zu bezahlen weg!

#2.1 - Flo besagt:
13.07.2012 18:38 - (Antwort)

Ein sehr schöner Vergleich!

#3 - Christof 13.07.2012 19:13 - (Antwort)

Ein grosses Bravo für Flo!!! "Geiz ist geil" ist nicht immer geil!
Darum von mir gleich eine Spende an Flo ausgelöst. Mach weiter so...

#4 - Samet 13.07.2012 19:15 - (Antwort)

Hahahaha Flo bin immer auf deiner Seite aber das mit den Daten glaubst ja nicht mal du oder wie wenn Facebook und Co nicht die Daten nehmen ; )

Also solange es geht machen Leute den heut zutage wird man eh nur abgezockt an jeder Ecke

Okey es trieft die entwikler aber weist was so ist das leben keinen wird was geschenkt

Meine meinung Leute

#4.1 - Baschdi 13.07.2012 19:31 - (Antwort)

Du bist genauso clever wie du dich ausdrückst!

#5 - Kevin 13.07.2012 19:43 - (Antwort)

Na ja ich weis nicht, ein paar Euro würde ich für ne gute app schon ausgeben. Aaaaaber manche übertreiben es mit den inapp Käufen, wenn ich mir nur mal Run tastic anschaue, oder andere Apps, man zahlt nachher 50-60 Euro für eine app. Auf futurezone.at habe ich sogar gelesen das es treffen von solchen Entwicklern gibt, wo sich dann ausgetauscht wird wie man den Nutzer Noch weiter systematisch ausnehmen kann. Und ganz ehrlich das kann es doch echt nicht sein oder ???

#6 - AppStore 13.07.2012 21:46 - (Antwort)

Also ganz ehrlich: ich dachte schon das ist doch cool! Meine Frage ist nur: ist es auch für In-App-Käufe wie Vollversionen möglich? Denn es nutzt ja nur Extras. Besonders wundert mich, dass das so klappt! Denn ich dachte man kauft diese immer und immer wieder...

Aber das mit den Daten hat eigentlich jeder Google-Nutzer... Nur was passiert mit den Daten? Das ist das einzige was ich als Grenze sehe. Und wie sieht es rechtlich aus? Kann Apple da eine saftige Strafe aushängen?

#7 - Ralf 13.07.2012 23:20 - (Antwort)

Pfuiiiii.....
Sowas nutzen doch nur Leute, die keine Ahnung haben, wieviel Zeit eine App zu entwickeln in Anspruch nimmt. Ich zahle gerne für eine App. Denn was wäre das iPhone oder iPad OHNE seine Entwickler und ihre Apps.
Wäre ganz schön langweilig so ohne die angry birds, sozialen Netzwerke, Flo's Weblogapp und Navigationssysteme usw......

#8 - MikeInB 14.07.2012 00:27 - (Antwort)

An alle die jetzt hier schreiben "meine daten sind doch eh schon bei apple/facebook/google/cia/al qaida" euch möchte ich da nur halb recht geben... Durch diese DNS änderung werden ALLE Daten übertragen, also nicht nur Handynummer, Standort und google suchanfrage sondern auch wichtigere dinge wie zum Beispiel die Online Banking Daten.
Das sollte dazu auch erwähnt werden!
Ich gehöre selbst zu den menschen denen das ganze Datenschutz gelaber bezüglich google und facebook aufn sack geht, dort kann ich mit nem gesunden menschenverstand nix schlimmes anrichten, aber meine bankdaten bei anderen kriminellen (hier sei noch gesagt, dass es sich eigentlich um Cracker handelt und nicht um Hacker. Hacker sind im Allgemeinen dazu da, Sichereitslücken für das Allgemeinwohl einer Firma/Privatperson ausfindig zu machen und diese dann stillschweigend zu beheben, wohingegen Cracker diese Informationen offen als Illegale Mittel nutzen. Das ist hier gegeben) Crackern zu lassen ist mir für 79cent dann doch zu hardcore.
Außerdem schadet es wie Flo und andere Kommentatoren gesagt haben dem Store und den Entwicklern...

#8.1 - AppStore 14.07.2012 00:36 - (Antwort)

MikeInB: Das stimmt nur fast... Es wird gesagt, man soll es nur zum öffnen der In-App-Käufe nutzen. Für sonst nichts! Aber es wird ein unsicheres VeriSign-Zertifikat genutzt, welches das iOS massiv verändert!!! Ich bin mir sicher, dass auch Symantec bald dagegen vorgehen wird um das zu unterlassen!

#9 - MikeInB 14.07.2012 16:58 - (Antwort)

@AppStore, sind wir doch mal ehrlich, rund 60%der iPhone Nutzer wissen gerade mal wie sie Apps aufs iPhone installieren.
Daher würde es mich nicht wundern wenn viele das Zertifikat einfach an lassen...

#10 - Lucy_Fairy 14.07.2012 17:27 - (Antwort)

Letztlich zeigt uns dies doch zumindest eines; das Konzept der In-App.-Käufe muss noch einmal überarbeitet werden.

#11 - Marcel 15.07.2012 09:38 - (Antwort)

@Samet: Hast du überhaupt einen Satz von Flo verstanden? Es geht nicht darum, dass mir jemand etwas schenkt sondern ob mich jemand beklaut.
Leute wie dich könnte ich ****** und dann ****** und danach *******, aber hey mach dir nichts draus, man hat uns ja nicht allen Gehirn bei der Geburt geschenkt. Wenn es sowas als In-App geben würde, wärst

#12 - Marcel 15.07.2012 09:40 - (Antwort)

... du bestimmt auch bereit dir sowas zu kaufen ;)


Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.