Apple löst das Problem mit den kostenlosen In-App-Käufen

Letzte Woche veröffentlichte der russische Hacker Alexey Borodin eine Anleitung zu den kostenlosen In-App-Käufen. Man konnte mit wenig Aufwand die Sicherheitsvorkehrungen des App Store umgehen und in den Apps kostenlos Inhalte herunterladen, die eigentlich bezahlt werden mussten. Apple hatte unmittelbar darauf reagiert und beteuert, dass man an der Lösung des Problems arbeite.

Wenige Tage später meldeten einige App-Entwickler Neuerungen in den Kaufbestätigungen aus dem App Store. Apple hat offenbar ein zusätzliches Feld "Unique Identifier" in die Kaufbestätigungen hinzugefügt. Damit können die Entwickler die iOS-Geräte verifizieren und so Missbrauch vorbeugen.

Seit gestern verschickt Apple an iOS-Entwickler die E-Mails mit der offiziellen Lösung des Problems. In dem Brief sind die Sicherheitslücke und die Herangehensweise des Hackers detailiert erklärt. Apple versichert, dass ab iOS 6 solche Mittelsmann-Angriffe grundsätzlich unmöglich werden. Für die älteren iOS-Versionen können die Developer zwei vorbereitete Xcode-Dateien herunterladen und seinem Code zufügen.

Apple beschreibt, dass eine App, die Apples vorgeschlagene Prozedur der Verifizierung einer Empfangsbestätigung gegen den Server des Entwicklers durchführt, der wiederum die Überprüfung mit Apples gegencheckt, nicht von dem Hack betroffen ist, da die App nicht direkt Kontakt zum App Store Server herstellt.

Während unveröffentlichte APIs in der Regel unter iOS nicht erlaubt sind, macht Apple hier eine Ausnahme, um die Funktion des In-App-Hacks auszuhebeln. 

Zusätzlich zu den Dateien hat Apple eine ausführliche Fragen-und-Antworten-Seite vorbereitet. Dort können sich die Entwickler informierten, ob eigene App überhaupt betroffen ist. Dazu sind die notwendigen Schritte für die Vorbeugung der nicht autorisierten In-App-Käufe genauer erläutert. Für den Fall, dass eine App aber den App Store Server direkt anspricht, empfiehlt Apple, die Verifizierung der App auf den Entwickler-Server umzustellen. Falls eine solche Code-Überarbeitung aber nicht möglich ist, muss auf grundlegende Überprüfungen wie Verifizieren von einmaligen Empfangs-IDs zurückgegriffen werden, dass Apples SSL-Verschlüsselung des Server-Zertifikats als ausreichend (gemäß EV Zertifikat, Extended Value) gilt.

In manchen Fällen können die Entwickler sogar die vergangenen Käufe noch mal validieren. Nach der Implementierung des neuen Codes kann die App die vorhandenen Kaufbestätigungen erneut prüfen und die nicht verifizierten Käufe, sei es Spielgeld oder zusätzliche Funktionen für die App, zurücksetzen.

Es ist bemerkenswert, wie schnell Apple auf die Sicherheitslücke im App Store reagiert hat. Im Zeitraum von anderthalb Wochen ist der iPhone-Hersteller den kompletten Weg von der Veröffentlichung der Lücke über die Maßnahmen gegen den Hacker und seine Server sowie die offizielle Bestätigung des Problems in der Presse zu der fertigen Lösung gegangen. Im Vergleich: Flashback-Trojaner für den Mac wurde im September 2011 entdeckt. Erst Ende April 2012 hat Apple ein Update für die Nutzer zur Verfügung gestellt, das das System auf den Trojaner prüft und gegebenfalls entfernt.

Quelle: 9to5mac