Laut Apple wurde die Sicherheitslücke mittlerweile geschlossen. Entdeckt hat die Sicherheitslücke der Sicherheitsforscher Benjamin Kunz Mejri, der bei der Firma Vulnerability Lab arbeitet. Vor der Veröffentlichung der Details der Sicherheitslücke kontaktierte Mejri Apple, um diese zu beseitigen.
Angreifbar war laut Mejri der Wert „Name“ in den Rechnungen von iTunes oder dem App Store, wodurch ein Sript in die Rechnungen integriert werden konnte. Durch diese Schwachstelle des Systems hätten sich Kunden als Mitarbeiter von Unternehmen, bei denen sie in der Vergangenheit Produkte erworben haben, ausgeben können. Zusätzlich dazu wäre es auch möglich gewesen, Kunden auf externe Quellen umzuleiten oder andere Shop-Module zu manipulieren, wodurch die Verkäufer geschädigt worden wären.
Da die Sicherheitslückemittlerweile geschlossen ist, veröffentlichte Mejri ein Video und eine detaillierte Anleitung zu dem Hack. Gemeldet hatte er die Sicherheitslücke am 8. Juni. Wann Apple die Lücke behob, ist Mejri nicht bekannt. Ob in der Vergangenheit Schäden durch die Sicherheitslücke entstanden sind, ist bisher nicht klar. Ein offizielles Statement zu der Lücke oder deren Beseitigung veröffentlichte Apple bisher nicht. Dass sogenannte „White Hat“ Hacker Lücken in Systemen aufdecken und mit den Unternehmen zusammenarbeiten ist keine Seltenheit.
News
Sicherheitslücke in Apples Stores geschlossen
Eine Sicherheitslücke im Rechnungssystem von iTunes und App Store soll es Hackern ermöglicht haben, Rechnungen und Sitzungen zu manipulieren.
Image: istockphoto.com/Henrik5000