Mac App Store ebenfalls von In-App-Dilemma betroffen

Am 13. Juli berichtete ich hier über die Tatsache, dass man bei vielen Apps die In-App-Käufe überlisten kann. Russische Hacker hatten einen Weg gefunden, via gefälschter Zertifikate und anderen DNS-Servern den Apps vorzugaukeln, dass die In-App-Käufe legal und erfolgreich abgeschlossen wurden. Problematik für Menschen, die nicht bezahlen wollen: die Anmeldedaten eures Accounts landen unverschlüsselt bei den bösen Buben. Macht die ganze Sache schon durchaus unattraktiver, nicht wahr? Nun die weitere Neuigkeit: nicht nur der Store für iOS-Geräte ist betroffen, sondern auch der App Store für den Mac.

Auch hier lässt sich mit besagter Methode ermöglicht, In-App-Käufe kostenlos zu realisieren. Das Spendenkonto bei PayPal des „Entwicklers“ Alexey Borodin wurde mittlerweile gesperrt, er ruft nun via Bitcoin zu Spenden auf. Interessanterweise kann man schwer von eine reinen Anfälligkeit des Systems Mac oder iOS sprechen, sondern eher von Apples Art, In-App-Käufe zu authentifizieren. Letzten Endes greift der Benutzer mit der Installation von gefälschten Zertifikaten in das System ein, um andere Authentifzierungsserver vorzugaukeln. Da wird es bestimmt spannend zu beobachten sein, wenn Dienste auf anderen Plattformen mal unter die Lupe genommen werden, denn sowohl der Play Store von Google, als auch der kommende Markt in Windows 8 unterstützen Apps, die In-App-Käufe anbieten. (via)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

3 Kommentare

  1. „…die Anmeldedaten eures Accounts landen unverschlüsselt bei den bösen Buben. Macht die ganze Sache schon durchaus unattraktiver, nicht wahr?“

    Hmm, hmm – ich bin ja kein Profi, aber wenn jemand genug Know How hat, könnte er das a) doch iwi selber? oder b) von einem anderen/Fakeaccount?

  2. Na ja man muss schon ziemlich wahnsinnig sein um seine persönlichen Daten über nicht vertrauenswürdige Server irgendeines Hackers zu leiten nur um ein paar Euro zu sparen.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.