News
16.07.2012, 09:29 Uhr
Schwachstelle: In-App-Käufe für iOS gratis
Ein russischer Hacker hat eine Methode entdeckt, mit der man In-App-Käufe in iOS-Apps kostenlos erschleichen kann. Apple untersucht das Problem derzeit.
Vor ein paar Tagen veröffentlichte der russische Hacker Alexey Borodin eine Methode, die es iOS-Besitzern ermöglicht, sich In-App-Käufe kostenlos zu erschleichen. Mittlerweile bezog Apple Stellung und bestätigte, dass man den Sachverhalt sehr ernst nehme und derzeit nach der Schwachstelle suche.
Weiter erwies sich die Mutmassung, dass Entwickler ihre Apps mithilfe von Kaufbestätigungen vor den Betrugsversuchen schützen könnten, als falsch. Borodin habe eigenen Aussagen zufolge mehrere Hundert US-Dollar in In-App-Käufe investiert, um eine entsprechende Bestätigung zu generieren, für die vom Konto des Käufers schliesslich kein Geld abgebucht wird. Laut dem Hacker gebe es aktuell keine Möglichkeit für iOS-Entwickler, ihre Apps vor dem Kauftrick zu schützen.
Die Schwachstelle, die derartige Betrügereien zulässt, ist die Art und Weise, mit der Käufe im App Store authentifiziert werden. Entsprechende Käufe sind weder an einen bestimmten Benutzer noch an ein Gerät gebunden. So ist es Borodin gelungen, ein und dieselbe Kaufbestätigung immer wieder nutzen zu können.
Noch eine Schwachstelle gefunden
Ganz nebenbei hat der russische Hacker auch noch ein weiteres Sicherheitsproblem bei Apple aufgedeckt. So würden die Apple-IDs und die Passwörter von iOS-Nutzern bei einem Kauf in reinem Text an das US-Unternehmen übermittelt. Die Kreditkartendaten seien davon jedoch nicht betroffen, so Borodin.
Die Schwachstelle, die derartige Betrügereien zulässt, ist die Art und Weise, mit der Käufe im App Store authentifiziert werden. Entsprechende Käufe sind weder an einen bestimmten Benutzer noch an ein Gerät gebunden. So ist es Borodin gelungen, ein und dieselbe Kaufbestätigung immer wieder nutzen zu können.
Noch eine Schwachstelle gefunden
Ganz nebenbei hat der russische Hacker auch noch ein weiteres Sicherheitsproblem bei Apple aufgedeckt. So würden die Apple-IDs und die Passwörter von iOS-Nutzern bei einem Kauf in reinem Text an das US-Unternehmen übermittelt. Die Kreditkartendaten seien davon jedoch nicht betroffen, so Borodin.
Kommentare
Es sind keine Kommentare vorhanden.