Apple arbeitet hart daran, den Hackerangriff auf sein In-App-Kaufprogramm für iOS zu bekämpfen. Bisher haben die Versuche des Unternehmens den russischen Entwickler Alexey Borodin jedoch offenbar nicht abgeschreckt möchte, dass Cupertino das zugrunde liegende Problem behebt, anstatt nur zu versuchen, seinen in-appstore.com zu blockieren Service.
Update vom 18. Juli - Apple fügt eindeutige Kennungen hinzu, um den iOS-In-App-Kauf-Hack zu bekämpfen
Letzte Woche Der russische Entwickler Alexey Borodin hat das In-App-Kaufprogramm von Apple gehackt für alle Geräte mit iOS 3.0 bis iOS 6.0 (das In-App Purchase-Programm erfordert iOS 3.0 oder höher), Es ermöglicht iPhone-, iPad- und iPod touch-Benutzern, den Zahlungsvorgang zu umgehen und im Wesentlichen In-App-Inhalte zu stehlen. Apple hat die Problemumgehung bestätigt und sagte, man untersuche das Problem. Seitdem arbeitet Cupertino hart daran, den Angriff zu stoppen, aber es ist ihm noch nicht gelungen.
Zunächst blockierte Apple die IP-Adresse des vom russischen Hacker verwendeten Servers. Als nächstes stellte das Unternehmen eine Deaktivierungsanfrage für den Webserver des Hackers und kontaktierte PayPal, um zu verhindern, dass Benutzer Spenden für die Aufrechterhaltung des Dienstes leisten. Zu guter Letzt reichte der Elektronikriese eine Urheberrechtsklage gegen das Video des Hackers ein.
Unglücklicherweise für Apple war das alles nicht genug. Borodin wechselte zu einem Server in einem anderen Land (der erste befand sich in Russland) und begann, Spenden über BitCoin entgegenzunehmen („PayPal ist scheiße“). BitCoin hier! 15GCBL7gHbf2p8bapozSrZhNaXdrKUWRFF") sowie Anzeigen auf in-appstore.com, Und hat ein neues Video hochgeladen.
Er erklärte außerdem, dass er möchte, dass Apple das Problem behebt, indem es entweder seine APIs ändert oder neue Blöcke für seinen Dienst einfügt. Borodin erzählte Das nächste Web dass Apple ihn zu diesem Problem nicht kontaktiert hat und er daher weiterhin mit Cupertino liebäugelt.
Das Schlimmste an diesem Hack ist, dass iOS-Entwickler keine Möglichkeit haben, ihre Apps zu schützen. Verwendung von Ladenquittungen funktioniert nicht Wie Borodin sagt, benötigt sein Dienst lediglich eine einzige Spendenquittung, mit der er dann die Kaufanfragen aller Personen authentifizieren kann. Seine Umgehungstechnik basiert auf der Installation von Zertifikaten (für einen gefälschten In-App-Kauf-Server und einen benutzerdefinierten DNS-Server) und der Änderung DNS-Einstellungen, um die Authentifizierung von „Käufen“ zu ermöglichen und schließlich den Quittungsverifizierungsserver in der Apple App zu emulieren Speichern.
Aufgrund der Art und Weise, wie Apple einen Kauf authentifiziert, behandeln die iOS-Apps den Borodin-Server als offizielle Kommunikation. Es gibt nichts, was den Kauf direkt an einen Kunden oder ein Gerät bindet, sodass ein einzelner Kaufbeleg immer wieder verwendet werden kann. Kurz gesagt bedeutet dieser Hack, dass In-App-Kaufanfragen sowohl umgeleitet als auch genehmigt werden.
Last but not least übermittelt Cupertino die Apple-IDs und Passwörter seiner Kunden im Klartext (Apple ging davon aus, dass es immer nur mit seinem eigenen Server kommunizieren würde). Die folgenden Informationen werden von Ihrem Gerät an den Server von Borodin übertragen: App-Einschränkungsstufe, App-ID, Versions-ID, Geräte-GUID, In-App-Kaufmenge, Name des In-App-Kaufangebots, App-ID, App-Version, Ihre Sprache und Ihr Gebietsschema. Wer auch immer in-appstore.com betreibt, könnte in einem klassischen Man-in-the-Middle-Angriff leicht die iTunes-Anmeldeinformationen aller Benutzer (sowie eindeutige Geräteidentifizierungsdaten) sammeln.
Wenn das nicht ausreicht, um Sie von der Verwendung dieses Hacks abzuhalten, denken Sie bitte an die Entwickler. Sie stehlen ihnen den Großteil der Einnahmen (70 Prozent im Vergleich zu Apples Kürzung um 30 Prozent).
Update vom 18. Juli - Apple fügt eindeutige Kennungen hinzu, um den iOS-In-App-Kauf-Hack zu bekämpfen
Siehe auch:
- Plattformübergreifender Trojaner greift Windows, Intel Macs und Linux an
- Neue Flashback-Variante infiziert Macs stillschweigend
- Der neue gezielte Mac OS X-Trojaner erfordert keine Benutzerinteraktion
- Über 600.000 Macs mit Flashback-Trojaner infiziert
- Schädliche Chrome-Erweiterungen kapern Facebook-Konten
- Malware bringt Facebook-Nutzer dazu, Kreditkarten preiszugeben
- Bis zu 1,5 Millionen Visa- und MasterCard-Kreditkartennummern gestohlen