Mac App Store ebenfalls von In-App-Dilemma betroffen

Am 13. Juli berichtete ich hier über die Tatsache, dass man bei vielen Apps die In-App-Käufe überlisten kann. Russische Hacker hatten einen Weg gefunden, via gefälschter Zertifikate und anderen DNS-Servern den Apps vorzugaukeln, dass die In-App-Käufe legal und erfolgreich abgeschlossen wurden. Problematik für Menschen, die nicht bezahlen wollen: die Anmeldedaten eures Accounts landen unverschlüsselt bei den bösen Buben. Macht die ganze Sache schon durchaus unattraktiver, nicht wahr? Nun die weitere Neuigkeit: nicht nur der Store für iOS-Geräte ist betroffen, sondern auch der App Store für den Mac.

Auch hier lässt sich mit besagter Methode ermöglicht, In-App-Käufe kostenlos zu realisieren. Das Spendenkonto bei PayPal des „Entwicklers“ Alexey Borodin wurde mittlerweile gesperrt, er ruft nun via Bitcoin zu Spenden auf. Interessanterweise kann man schwer von eine reinen Anfälligkeit des Systems Mac oder iOS sprechen, sondern eher von Apples Art, In-App-Käufe zu authentifizieren. Letzten Endes greift der Benutzer mit der Installation von gefälschten Zertifikaten in das System ein, um andere Authentifzierungsserver vorzugaukeln. Da wird es bestimmt spannend zu beobachten sein, wenn Dienste auf anderen Plattformen mal unter die Lupe genommen werden, denn sowohl der Play Store von Google, als auch der kommende Markt in Windows 8 unterstützen Apps, die In-App-Käufe anbieten. (via)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

3 Kommentare

  1. „…die Anmeldedaten eures Accounts landen unverschlüsselt bei den bösen Buben. Macht die ganze Sache schon durchaus unattraktiver, nicht wahr?“

    Hmm, hmm – ich bin ja kein Profi, aber wenn jemand genug Know How hat, könnte er das a) doch iwi selber? oder b) von einem anderen/Fakeaccount?

  2. Na ja man muss schon ziemlich wahnsinnig sein um seine persönlichen Daten über nicht vertrauenswürdige Server irgendeines Hackers zu leiten nur um ein paar Euro zu sparen.