Home / iPhone / News
News

Mechanismus für In-App-Käufe geknackt

Ein russischer Hacker hat den Mechanismus der In-App-Käufe entschlüsselt. Apple ermittelt und versucht, die Lücke zu schließen.
Halyna Kubiv
Von Halyna Kubiv
Redakteurin, Macwelt
Mechanismus für In-App-Käufe geknackt
Image: Apple,

Dem russischen iOS-Entwicker Alexey Borodin ist es offenbar gelungen, den Mechanismus für In-App-Käufe im App Store zu knacken. Mit einem eigenem Dienst bietet der Entwickler einen Proxy-Server für den App Store. Der Dienst funktioniert auch ohne Jailbreak. Dafür muss man zwei Zertifikate von der Entwickler-Seite herunterladen und die DNS-Angaben in den Netzwerkeinstellungen auf dem iPhone ändern. Borodin beteuert, dass der Dienst noch im Beta-Stadium ist, deswegen funktioniert er noch unzuverlässig. Zeitweise waren der Server und die Webseite mit Informationen zu Borodins Dienst nicht zu erreichen. Nach Angaben des Entwicklers ist Apple bereits informiert und hat den Hoster um das Abschalten seiner Seite gebeten. Apple will zudem die Schwachstelle in der Infrastruktur des App Stores identifizieren und schließen , man nehme den Sachverhalt “sehr ernst”.

Offensichtlich hat Borodin eine Schwachstelle in der API “In-App” gefunden. In der Beschreibung zur Installation und Funktionsweise weist er zudem darauf hin, dass der Dienst solange funktionieren wird, bis Apple die API aktualisiert. Mit den Desktop-Programmen ist es längst möglich, die gesendeten und empfangenen iPhone-Daten abzufangen und zu lesen. So gehen beispielsweise die Sicherheitsexperten vor, wenn sie herausfinden möchten, wohin eine App die Daten schickt. Borodin hat zudem entdeckt, welche Zertifikate die App-Store-Server für die Kommunikation mit dem iPhone nutzen und sie durch andere ersetzt. Man muss anmerken, dass seine Methode nur dann funktioniert, wenn die App-Entwickler keinen zusätzlichen Schutz für eigene In-App-Käufe haben. Prüft der Anbieter-Server die Zertifikate aus dem App Store zusätzlich, findet kein unerlaubter In-App-Kauf statt.

Im Cydia-Store, einer Alternative zum App Store für die iOS-Geräte mit Jailbreak, gibt es bereits eine App, die die Bezahlschranke für die In-App-Käufe umgeht. Es ist aber zum ersten Mal jemandem gelungen, diese Schranke ohne tiefgreifende Änderungen des iOS-Systems auszuhebeln.

In-App-Mechanismus geknackt
In-App-Mechanismus geknackt
Der Entwickler stellt zwei Profile auf seiner Seite zum Download bereit.
In-App-Mechanismus geknackt
In-App-Mechanismus geknackt
Installiert man die Profile auf dem eigenen iPhone und gibt die richtige DNS ein, ist der Schutz  im App Store ausgehebelt.

©Habr

In-App-Mechanismus geknackt
In-App-Mechanismus geknackt
Ist die Installation richtig verlaufen, erscheint bei einem Kauf im App Store ein Like-Button statt eines Kaufen-Buttons.

©Habr

Anmerkung: Wir behalten uns vor, keine Links auf die Entwickler-Seite und auf den In-App-Dienst zu setzen.

vgwort

, Redakteurin

Halyna Kubiv ist seit 2010 bei der Macwelt. Nicht nur Apple-Produkte sind ihre Leidenschaft, sondern auch Themen rund um Fitness und Gesundheit.

Aktuelle Beiträge von Halyna Kubiv: