1522149

Entwickler-Kommentar zur Sicherheitslücke im App Store

17.07.2012 | 11:42 Uhr |

Am Freitag hat eine Nachricht Aufsehen erregt, dass sich die In-App-Käufe im App Store ohne Bezahlen tätigen lassen. Dafür ist nicht mal ein Jailbreak nötig.

Der Hacker Alexey Borodin hat für die kostenlosen In-App-Käufe auf der eigenen Webseite zwei Zertifikate und eine ausführliche Anleitung bereit gestellt. Apple hat in diesem Fall ziemlich schnell reagiert: noch am selben Tag erfolgte eine Bitte an den Hoster um die Abschaltung der Server. Genau so zügig wurde eine Pressemitteilung von Apple veröffentlicht, dass man die Sache sehr ernst nehme und auf der Suche nach der Sicherheitslücke sei.


Bei uns sind bereits die ersten Kommentare der Entwickler eingegangen, hier ein Kommentar von Hans-Jürgen Richstein, dem Entwickler von " Dash Race ":

" Bislang war es bereits relativ einfach, In-App-Käufe zu fälschen, wenn eine "gejailbreakte" Version der App im Umlauf war. Dass dies nun auch für legal erworbene Apps problemlos möglich ist, stellt natürlich eine ganz neue Qualität dar. Aus meiner Sicht ist es ganz klar eine Schwäche der Store-API, dass man sich mit einer Mittelsmann-Attacke in den App-Store-Datenverkehr einschalten kann. Offenbar baut sie keine echte sichere Verbindung zum App Store auf (wie es jeder Browser z.B. beim Online-Banking tut), sondern prüft nicht ausreichend die Gültigkeit des Zertifikats der Gegenseite. Damit kann sich jeder andere Server ebenfalls als App Store tarnen. Der Entwickler hat hier gar keine Möglichkeit, selbst etwas zu tun, das muss Apple beheben. Man kann hier derweil nur hoffen, dass für den durchschnittlichen Benutzer die Hürde zur Illegalität ausreichend hoch ist, dies erst gar nicht zu versuchen, so wie ja auch die meisten keine illegalen Filme etc. herunterladen, obwohl es einfach wäre. Darüber hinaus reicht für gejailbreakte Apps das einfache Validieren der vom Store nach dem Kauf zurückgelieferten Quittung ebenfalls nicht aus. Die einzige sichere Möglichkeit ist das Senden dieser Quittung an den eigenen Server, der die erworbenen Inhalte liefert. Dieser kann sie dann wiederum bei Apple validieren lassen, und auf diese Strecke haben die Hacker keinen Einfluss, daher werden ungültige Quittungen, die nicht wirklich Apple ausgestellt hat, hier schlussendlich bemerkt und am Ende keine Inhalte geliefert. Für kleinere Entwickler ist es allerdings ein Problem, weltweit verfügbare schnelle Server zur Verfügung zu stellen, auf denen sie den nötigen Code zur Validierung laufen lassen können. Solche Server kosten deutlich mehr als einfache Fileserver, die die Daten auf Anforderung der App direkt ausliefern. Außerdem ist die technische Hürde einer solchen -- meist PHP-basierten -- Implementation nicht für jedermann leicht zu nehmen, und die gesamte Komplexität des Vorgangs, die Wartungsaufwände und die zusätzliche Kundenbetreuung bei Problemen in einem solchen Setup sind für kleinere Entwicklungshäuser kaum zu stemmen. Hier böte sich natürlich ein Geschäftsfeld für Drittanbieter, oder Apple könnte auch generell die Lieferung von Inhalten anbieten, auch als kostenpflichtigen Zusatzdienst."

0 Kommentare zu diesem Artikel
1522149