1520917

Mechanismus für In-App-Käufe geknackt

13.07.2012 | 18:49 Uhr |

Ein russischer Hacker hat den Mechanismus der In-App-Käufe entschlüsselt. Apple ermittelt und versucht, die Lücke zu schließen.

Dem russischen iOS-Entwicker Alexey Borodin ist es offenbar gelungen, den Mechanismus für In-App-Käufe im App Store zu knacken. Mit einem eigenem Dienst bietet der Entwickler einen Proxy-Server für den App Store. Der Dienst funktioniert auch ohne Jailbreak. Dafür muss man zwei Zertifikate von der Entwickler-Seite herunterladen und die DNS-Angaben in den Netzwerkeinstellungen auf dem iPhone ändern. Borodin beteuert, dass der Dienst noch im Beta-Stadium ist, deswegen funktioniert er noch unzuverlässig. Zeitweise waren der Server und die Webseite mit Informationen zu Borodins Dienst nicht zu erreichen. Nach Angaben des Entwicklers ist Apple bereits informiert und hat den Hoster um das Abschalten seiner Seite gebeten. Apple will zudem die Schwachstelle in der Infrastruktur des App Stores identifizieren und schließen , man nehme den Sachverhalt "sehr ernst".

Offensichtlich hat Borodin eine Schwachstelle in der API "In-App" gefunden. In der Beschreibung zur Installation und Funktionsweise weist er zudem darauf hin, dass der Dienst solange funktionieren wird, bis Apple die API aktualisiert. Mit den Desktop-Programmen ist es längst möglich, die gesendeten und empfangenen iPhone-Daten abzufangen und zu lesen. So gehen beispielsweise die Sicherheitsexperten vor, wenn sie herausfinden möchten, wohin eine App die Daten schickt. Borodin hat zudem entdeckt, welche Zertifikate die App-Store-Server für die Kommunikation mit dem iPhone nutzen und sie durch andere ersetzt. Man muss anmerken, dass seine Methode nur dann funktioniert, wenn die App-Entwickler keinen zusätzlichen Schutz für eigene In-App-Käufe haben. Prüft der Anbieter-Server die Zertifikate aus dem App Store zusätzlich, findet kein unerlaubter In-App-Kauf statt.

Im Cydia-Store, einer Alternative zum App Store für die iOS-Geräte mit Jailbreak, gibt es bereits eine App, die die Bezahlschranke für die In-App-Käufe umgeht. Es ist aber zum ersten Mal jemandem gelungen, diese Schranke ohne tiefgreifende Änderungen des iOS-Systems auszuhebeln.

Anmerkung: Wir behalten uns vor, keine Links auf die Entwickler-Seite und auf den In-App-Dienst zu setzen.

0 Kommentare zu diesem Artikel
1520917