Apple ermittelt wegen kostenloser In-App-Käufe

Gestern veröffentlichte der russische Hacker Alexey Borodin eine Methode, die es iOS-Besitzern ermöglicht, sich In-App-Käufe kostenlos zu erschleichen. Heute bezog Apple Stellung und bestätigte, dass man den Sachverhalt sehr ernst nehme und derzeit nach der Schwachstelle suche. Weiterhin erwies sich die Mutmassung, dass Entwickler ihre Apps mit Hilfe von Kaufbestätigungen vor den Betrugsversuchen schützen könnten, als falsch. Borodin habe eigenen Aussagen zufolge mehrere hundert Dollar in In-App-Käufe investiert, um eine entsprechende Bestätigung zu generieren, für die vom Konto des Käufers schliesslich kein Geld abgebucht wird. Laut dem Hacker gebe es aktuell keine Möglichkeit für iOS-Entwickler, ihre Apps vor dem Kauf-Trick zu schützen.

Die Schwachstelle, die derartige Betrügereien zulässt ist Apples Art und Weise, mit der Käufe im App Store authentifiziert werden. Entsprechende Käufe sind weder an einen bestimmten Benutzer, noch an ein Gerät gebunden. So ist es Borodin gelungen, ein und die selbe Kauf-Bestätigung immer wieder nutzen zu können. Ganz nebenbei hat der russische Hacker auch noch ein weiteres Sicherheitsproblem bei Apple aufgedeckt. So würden die Apple-IDs und die Passwörter von iOS-Nutzern bei einem Kauf in reinem Text an das US-Unternehmen übermittelt. Die Kreditkarten-Daten seien davon jedoch nicht betroffen, so Borodin. Es bleibt abzuwarten, wie und wann Apple sein Problem mit illegalen In-App-Diebstählen lösen wird. Lesen Sie auf der nächsten Seite: So werden In-App-Käufe gratis

In Apples App-Store-System für In-App-Käufe scheint sich eine gravierende Sicherheitslücke eingeschlichen zu haben. Einem russischen Hacker ist es über selbige gelungen, In-App-Käufe in iOS-Apps kostenlos zu erwerben. Erstmals über den Blog i-ekb.ru publiziert, wird hierzu ein so genannter In-App Proxy verwendet. Für dessen Nutzung ist kein Jailbreak notwendig und die Installation ist den Angaben zufolge in nur drei Schritten selbst Neulingen möglich. Die Hacker-Methode, mit der sich Smartphone- und Tablet-Nutzer illegal In-App-Extras erschleichen können, funktioniert auf iOS 3.0 bis 6.0. Das Szene-Magazin 9to5Mac hat den In-App Proxy ausprobiert und bestätigt dessen Funktionen in einem aktuellen Bericht. Da die Anleitung im Internet bereits viel Aufsehen erregt hat, weist 9to5Mac App-Entwickler nun auf die Schwachstelle hin. Verantwortlich für den Hack ist den Angaben zufolge der russische Entwickler ZonD80. Die Einzigen Apps, die von der Diebstahl-Methode unbeeindruckt bleiben, sind solche, die Empfangsbestätigungen für In-App-Käufe ausgeben. Entwickler werden also dringend dazu angehalten, ihre Software mit dieser Funktion zu versehen, sonst könnten ihnen durch den In-App Proxy Einnahmen entgehen. Apple hat sich zu dem Sicherheitsleck bislang nicht geäussert.