iOS: In-App-Käufe ohne Bezahlen möglich

13. Juli 2012 Kategorie: Backup & Security, iOS, geschrieben von: caschy

Uiuiui – da werden bei Apple die Sicherheits-Mitarbeiter aber bestimmt nicht in das Wochenende starten. Russischen Tüftlern ist es gelungen, die Sicherheit in Apples In-App-Käufen zu umgehen, beziehungsweise die In-App-Käufe von Apps anzuzapfen, die sich nicht richtig absichern. Normalerweise könnt ihr in diversen Spielen Goldmünzen und Co kaufen, die dann logischerweise angerechnet werden – ihr also in klingender Münze zahlt.

Ohne Jailbreak, nur durch Installation zweier Zertifikate und dem Umbiegen des DNS-Servers soll es der Tüftler geschafft haben, Apples Fort Knox zu knacken – auch zu sehen im Video. Der Spaß soll nicht bei allen Apps funktionieren, sicher dürfte sein, dass vielen Entwicklern toller Anwendungen dadurch das verdiente Geld durch die Lappen geht. Apple gibt Entwicklern eine Möglichkeit mit, die In-App-Käufe zu validieren, anscheinend halten sich nicht alle daran. (via, via, danke Juergen!)


Vielen Dank für das Lesen dieses Blogs! Wenn ihr uns unterstützen wollt, dann schaut euch auch diese Advertorials an, die wir auf separaten Seiten geschaltet haben: Acer Iconia Tab 8 und HP Cashback Aktion. Danke, jeder Aufruf hilft uns.

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 16794 Artikel geschrieben.


14 Kommentare

Timo 13. Juli 2012 um 17:39 Uhr

Von Apple wird immer gepredigt man solle als Dev In-App-Purchases validieren lassen. Wenn die Devs das nicht tun, ist das für mich kein Grund Apple die Schuld in die Schuhe zu schieben. Die Infrastruktur ist da, dann muss man sauberer coden.

Infinite Loop 13. Juli 2012 um 17:54 Uhr

Ich glaub, ich brauch doch noch ein iPhone ;)

gunni 13. Juli 2012 um 17:57 Uhr

habs grad getestet ohne erfolg

validation-failes

Dennis 13. Juli 2012 um 18:45 Uhr

Mal dran gedacht was ihr so für eigene Daten an den fremden Server mit sendet? Die vom iTunes Account evtl?

THO 13. Juli 2012 um 18:51 Uhr

Falls solche Artikel hier erlaubt sind – InApp-Käufte für Spiele sind auch unter Android kein Problem.

Mit GameCIH [1] kann man relativ einfach diverse Spielstände, insbesondere Gold/Diamanten/… etwas vermehren.
Dabei werden noch nichtmal Bezahlungsvorgänge ausgehebelt, sondern die Daten auf dem Gerät verändert. Natürlich kann man sich dagegen sicherlich auch einfach schützen (Checksummen), was ich von Anbietern mit hochwertigem Content erwarte.

Zusätzliche Inhalte kommen so aber natürlich noch nicht zwingend auf das Gerät.

[1] http://gamecih.com/

Konstantin 13. Juli 2012 um 20:38 Uhr

Es ist schon recht erstaunlich wie viele sich nicht daran halten… – Sogar die großen (Angry Birds und einige der aktuellen Gameloft-Titel) validieren die InApp-Käufe einfach nicht…
So weit ich das weiß, sind die Jailbreak-Lösungen, die man dafür bekommt so aufgebaut, dass die die InApp-Anfragen einfach mal ins “mobile substrate” (paralleles Sicherheitssystem falls iOS abstürzt) umleiten und von dort wieder zurückschicken.

Ich glaube ich brauche hier dann auch keine Namen der Cydia-Apps sagen, da hilft schon eine kleine Google-Suche…

Janina 13. Juli 2012 um 22:38 Uhr

Apple sollte – falls identifizierbar – einfach alle Accounts sperren, denen dieser Betrug nachgewiesen werden kann.
Gefälschte Zertifikate installieren, irgendwelche dubiosen DNS-Server verwenden… und hinterher jammern, wenn das Konto leergeräumt ist.

Rick 13. Juli 2012 um 23:19 Uhr

Wahrscheinlich eine einfache Kosten-/Nutzen-Rechnung.

Der Anteil JB-User ist relativ klein, davon nutzen die meisten wahrscheinlich nur Tweaks und keine gecrackten Apps und selbst wenn, glaube ich nicht, dass sie für so In-Game Münzen o.ä. zahlen würden – in dem Falle schadet man sich sogar ja selber, da das Spiel fixer vorbei ist.

Die Lücke ist ärgerlich, aber ich glaube, erst recht in der Welt der Nicht-JB-User bekommt sowieso kaum einer diese Nachricht mit, insofern seh ich keinen großen finanziellen Schaden, wenn überhaupt.

Trotzdem ist das natürlich ein lächerlicher Bug.

Marcus 13. Juli 2012 um 23:57 Uhr

Ich glaube das Thema wird noch größere Wellen schlagen in den nächsten Tagen! Der Entwickler hat festgestellt, dass Benutzername/Email und Passwort als Klartexte übermittelt werden… würde euch erst mal davon abraten diesen Hack zu benutzen! Generell auch sehr beunruhigend, dass Apple nicht auf verschlüsselte Userdaten setzt und darauf hofft keinem MITM Angriff ausgesetzt zu sein… oO
Source: http://www.macrumors.com/2012/07/13/hacker-releases-tools-for-bypassing-apples-in-app-purchase-mechanism/

Fisch 14. Juli 2012 um 07:29 Uhr

Es wird immer und bei allem eine Lücke geben, an welcher Hacker angreifen können. Die Frage ist nur wie einfach diese ausgenutzt werden kann und wie schnell die Seitenbetreiber reagieren und Abhilfe schaffen.

Konstantin 14. Juli 2012 um 18:04 Uhr

Beim Video kommt nun die Meldung, dass Apple ein Uhrheberrechtsanspruch durchgeboxt hat – also is das Video sowohl über Proxtube als auch normal nicht mehr verfügbar – die scheinen echt an einer Lösung zu arbeiten…

Tom 16. Juli 2012 um 08:41 Uhr

“die scheinen echt an einer Lösung zu arbeiten…” – wie naiv, das wird wohl eher totgeschwiegen


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.