Apple untersucht den Hackerangriff auf sein In-App-Kaufprogramm für iOS. Der Hacker Alexey Borodin hat sich auch geäußert und erklärt, dass iOS-App-Entwickler keine Quittungen zum Schutz ihrer Apps verwenden können und dass Apple Benutzeranmeldeinformationen im Klartext übermittelt.
Update vom 16. Juli - Apple versucht, den iOS-In-App-Kauf-Hack zu blockieren, scheitert
Heute wurde bekannt, dass Der russische Entwickler Alexey Borodin hat Apples In-App-Kaufprogramm für iOS gehackt, was es iPhone-, iPad- und iPod touch-Benutzern ermöglicht, den Zahlungsvorgang zu umgehen und im Wesentlichen In-App-Inhalte zu stehlen. Apple hat bestätigt, dass das Problem derzeit untersucht wird.
„Die Sicherheit des App Store ist für uns und die Entwickler-Community unglaublich wichtig“, sagte ein Apple-Sprecher Die Schleife. „Wir nehmen Meldungen über betrügerische Aktivitäten sehr ernst und führen Ermittlungen durch.“
Das ist nicht alles. Es stellt sich heraus, dass mein Vorschlag, Ladenbelege zu verwenden (
So schützen Sie Ihre App vor dem In-App-Kauf-Hack von Apple iOS) war falsch. Borodin erzählte Das nächste Web dass sein Dienst lediglich eine einzige Spendenquittung benötigt, mit der er dann die Kaufanfragen aller Personen authentifizieren kann. Borodin hat mehrere hundert Dollar für die Prüfung und Erstellung von Belegen bei In-App-Käufen ausgegeben.Seine Umgehungstechnik beruht daher auf mehr als nur der Installation von Zertifikaten (für einen gefälschten In-App-Kaufserver und einen benutzerdefinierten DNS-Server), um „Käufe“ zu ermöglichen. Da er im Wesentlichen den Quittungsverifizierungsserver im Apple App Store emuliert, behandelt die App Borodins Server als offizielle Kommunikation.
Das Problem liegt darin, wie Apple einen Kauf authentifiziert. Es gibt nichts, was den Kauf direkt an einen Kunden oder ein Gerät bindet, sodass ein einzelner Kaufbeleg immer wieder verwendet werden kann. Kurz gesagt bedeutet dieser Hack, dass In-App-Kaufanfragen sowohl umgeleitet als auch genehmigt werden.
Zu guter Letzt sagt Borodin, dass Cupertino die Apple-IDs und Passwörter seiner Kunden im Klartext übermittelt, obwohl er anmerkt, dass er keine Kreditkarteninformationen sehen kann. Die folgenden Informationen werden von Ihrem Gerät an den Server von Borodin übertragen: App-Einschränkungsstufe, App-ID, Versions-ID, Geräte-GUID, In-App-Kaufmenge, Name des In-App-Kaufangebots, App-ID, App-Version, Ihre Sprache und Ihr Gebietsschema.
Wer auch immer in-appstore.com betreibt, könnte in einem klassischen Man-in-the-Middle-Angriff leicht die iTunes-Anmeldeinformationen aller Benutzer (sowie eindeutige Geräteidentifizierungsdaten) sammeln. Der Nutzungsbedingungen Ich habe diese eher beruhigende Nachricht (Tippfehler bleiben erhalten):
Wir erfassen Ihr Passwort oder alle Ihre persönlichen und zugänglichen Daten, wie z. B. Apple-ID, temporären Authentifizierungsschlüssel und andere.
Borodin erzählte Macworld Er sei „schockiert“, dass Passwörter im Klartext und nicht verschlüsselt weitergegeben würden. Apple ging natürlich davon aus, dass seine iOS-Software nur mit einem gültigen Sicherheitszertifikat mit dem offiziellen In-App-Kaufserver kommunizieren würde. Das ist eine sehr schlechte Annahme, wie Borodins Hack deutlich gezeigt hat.
Update vom 16. Juli - Apple versucht, den iOS-In-App-Kauf-Hack zu blockieren, scheitert
Siehe auch:
- Plattformübergreifender Trojaner greift Windows, Intel Macs und Linux an
- Neue Flashback-Variante infiziert Macs stillschweigend
- Der neue gezielte Mac OS X-Trojaner erfordert keine Benutzerinteraktion
- Über 600.000 Macs mit Flashback-Trojaner infiziert
- Schädliche Chrome-Erweiterungen kapern Facebook-Konten
- Malware bringt Facebook-Nutzer dazu, Kreditkarten preiszugeben
- Bis zu 1,5 Millionen Visa- und MasterCard-Kreditkartennummern gestohlen