> > > > iOS App Store: In-App-Diebstahl - was dahinter steckt (Update)

iOS App Store: In-App-Diebstahl - was dahinter steckt (Update)

DruckenE-Mail
Erstellt am: von

apple logoIn den vergangenen 3-4 Tagen dominierte eine Nachricht die Apple-Welt: Ein russischer Hacker namens Alexey V. Borodin hat eine Möglichkeit gefunden, In-App-Käufe aus dem iOS App Store ohne Bezahlung zu tätigen und das ohne Jailbreak. Wieder einmal stürzten sich die Medien auf diese Meldung und extrahierten daraus die erneute Security-Apokalypse bei Apple. Die Rede war von "Man in the Middle"-Attacken und Passwörtern in Klartext, die Hintergründe kannte und kennt aber kaum jemand, auch wenn die Begriffe richtig sein mögen. Zeit das Thema einmal von vorne aufzuarbeiten:

Erstmals tauchten am Mittwoch vergangene Wochen erste Meldungen zu diesem Hack auf. Die Methode von Alexey V. Borodin nutzt gefälschte Sicherheits-Zertifikate und einen modifizierten DNS-Server. Die installierten Apps glauben daraufhin direkt mit dem App Store zu kommunizieren, sprechen allerdings nur mit dem vom Hacker betriebenen Server. Dies ist eine klassische "Man in the Middle"-Attacke. Der vom Hacker betriebene Server stellt gefälschte "Receipts" aus, die eigentlich dazu genutzt werden, um den In-App-Kauf gegenüber dem Entwickler zu verifizieren. Laut Borodin sind diese "Receipts" sehr einfach zu fälschen, da keinerlei Nutzerdaten enthalten sind und diese nicht in irgendeiner Weise gerätegebunden erstellt werden.

Um den Hack vollständig zu verstehen, muss zunächst einmal verstanden werden, wie In-App-Käufe funktionieren. Wenn ein Nutzer einen In-App-Kauf tätigt, schickt Apple ein paar Daten, das "Receipt". Die App kontaktiert daraufhin direkt die Apple-Server, um das "Receipt" zu validieren. Apple bietet den Entwicklern zwei Möglichkeiten der Validierung. Diese kann auf dem iOS-Gerät erfolgen oder aber auf einem eigenen Server, der vom App-Anbieter betrieben wird. Momentan kann der Hack nur "Receipts" erstellen, die auf dem iOS-Gerät validiert werden. Borodin will in einer nächsten Phase aber auch den Validierungs-Prozess auf den App-eigenen Servern täuschen können.

in-app-kaeufe

Apples Verantwortung

Apple bietet momentan nur in Teilen eine für Entwickler sichere Methode für In-App-Käufe. Ein Großteil der Entwickler dürfte aber auf die Validierung auf dem iOS-Gerät zurückgreifen, da diese deutlich einfacher zu implementieren ist. Das die Methode der Validierung auf dem iOS-Gerät nicht sicher ist, darf sicherlich Apple angekreidet werden. Einfach auf die zweite Methode zu verweisen, entbindet Apple nicht von seiner Verantwortung.

Ein zweiter Punkt ist die Übertragung der Apple-ID und des Passworts im Klartext. Borodin gibt an, dass er beide Datensätze auslesen kann, sobald jemand seinen Hack anwendet. Dies geschieht allerdings nur, da das iOS-Gerät über das gefälschte Sicherheitszertifikat glaubt, mit einem sicheren Apple-Server zu sprechen. Auch hier lässt sich aber sicherlich ein Großteil der Verantwortung Apple zuschreiben. Es spricht schließlich nichts dagegen Daten, auch bei einer verschlüsselten Verbindung, verschlüsselt zu übertragen.

Apple-Sprecher gegenüber The Loop:

The security of the App Store is incredibly important to us and the developer community. We take reports of fraudulent activity very seriously and we are investigating.

Sicherheitslücke stopfen

Die Sicherheitslücke zu schließen dürfte Apple nicht sonderlich schwer fallen, wird aber etwas Zeit in Anspruch nehmen. Ein iOS-Update, das die Methode der Validierung der "Receipts" verbessert, reicht aus. Dazu müssen dann aber auch alle Nutzer das Update ausführen. Wer weiterhin auf der alten iOS-Version verbleibt, kann über den Hack kostenlos In-App-Käufe tätigen. Entwickler können auf die sicherere Validierung über einen eigenen Web-Server wechseln, was allerdings zusätzlichen Arbeitsaufwand und Kosten nach sich zieht. Ein Update der App ist an dieser Stelle Pflicht. Nutzer, die weiterhin die alte Version der App nutzen, können auch weiterhin vom Hack Gebrauch machen.

Moralische Verantwortung

Der Validierungsprozess für In-App-Käufe bei Apple weist große Lücken auf. Bislang konnten Entwickler bei ähnlichen Versuchen über Methoden, die über einen Jailbreak zugänglich wurden, mit eigenen Maßnahmen gegensteuern. Beim aktuellen Hack ist dies nur durch die eigenhändige Validierung auf den eigenen Servern möglich.

Software-Piraterie ist und bleibt ein Thema - auch auf mobilen Geräten. Viele Entwickler entscheiden sich noch immer gegen die Entwicklung einer Android-App, da ihnen der Anteil der "geraubten" Installation noch immer einfach zu hoch ist. Bislang konnte Apple dieses Thema weitestgehend vernachlässigen.

Jedem Nutzer dieses Hacks muss auch klar sein, welche Daten er dem Hacker preis gibt. Da die Apple-ID und das Passwort übertragen werden, hat dieser auch vollen Zugriff auf das iTunes-Konto, mitsamt der hinterlegten Zahlungsinformationen. Wer sich später über einen gehackten und leergeräumten iTunes-Account beschwert, darf nicht allzu viel Mitleid erwarten. Aus offensichtlichen Gründen verzichten wir auch auf die Verlinkung zu Anleitungen, die diesen Hack möglich machen.

Sicherlich kann man sich über die Vor- und Nachteile des Freemium-Modells, Spiele kostenlos anbieten und dann über In-App-Käufe refinanzieren, unterhalten. Dem Nutzer wird aber immer eine Wahl gelassen: nicht kaufen! Eine Argumentation man sähe ja nicht ein dafür Geld zu zahlen, kann nicht akzeptiert werden.

Update:

Im Rahmen der gegebenen Möglichkeiten versucht Apple derzeit gegen den Hack vorzugehen. Zum einen bittet Apple Google darum die Videos mit Anleitungen von Youtube zu entfernen, was auch teilweise schon geschehen ist. Weiterhin blockt Apple inzwischen die IP-Adressen der bekannten Server und hat die Anbieter um die Abschaltung der selbigen gebeten.

Borodin hingegen will Server außerhalb Russlands anmieten, um die Methode weiter anbieten zu können. Damit umginge er auch die IP-Sperren. Inzwischen warnen auch Sicherheitsexperten vor der Nutzung des Hacks, da nicht nur der Datenverkehr für den App Store mitgeschrieben werden könnte, sondern auch sämtliche andere sichere Verbindungen offenliegen könnten.

Social Links

Ihre Bewertung

Ø Bewertungen: 4.67

Tags

Kommentare (11)

#2
customavatars/avatar17999_1.gif
Registriert seit: 16.01.2005

Say my name.
Beiträge: 1560
Ich hab's verstanden :fresse: guter Artikel!
#3
customavatars/avatar19593_1.gif
Registriert seit: 17.02.2005

Redakteur
Beiträge: 12211
Wirklich schöner Artikel - keine Hetzjagd wie auf einigen anderen Seiten...informativ, sachlich und mit guten Hintergrundinfos gespickt :)
#4
Registriert seit: 20.02.2007

Oberbootsmann
Beiträge: 1018
Sehr übersichtliche und nachvollziehbar. Auch für Leute die nach technisch nicht so versiert sind.
#5
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 29105
Danke für das Lob. Mir sind einmal mehr die Überschriften wie "Apple überträgt Passwörter im Klartext" böse aufgestoßen. Da wird dann mit der Angst der Nutzer gespielt.
#6
customavatars/avatar33106_1.gif
Registriert seit: 09.01.2006

Admiral
Beiträge: 15011
Toller Artikel!

Einfach der beste Artikel seit langer Zeit.

Mehr muss nicht gesagt werden.
#7
customavatars/avatar134821_1.gif
Registriert seit: 18.05.2010
Kreis Unna
Vizeadmiral
Beiträge: 6601
Wirklich super geschrieben!
hut ab
#8
Registriert seit: 01.12.2005

Bootsmann
Beiträge: 620
Schöner Artikel bis auf:
Zitat
Software-Piraterie ist und bleibt ein Thema - auch auf mobilen Geräten. Viele Entwickler entscheiden sich noch immer gegen die Entwicklung einer Android-App, da ihnen der Anteil der "geraubten" Installation noch immer einfach zu hoch ist. Bislang konnte Apple dieses Thema weitestgehend vernachlässigen.


Das ganze hat imo hauptsächlich ganz andere Gründe und fördert die alten Vergleiche. So pauschal ist das ganze falsch und wenn man es weiter ausführt gehts am Thema vorbei. Praktisch genauso wäre es, wenn man in diesem Artikel auf das verschlossene closed source iOs geschimpft hätte, nämlich zu großen teilen falsch und unpassend.

Ansonsten sehr neutral geschrieben, was nicht umbedingt zu den anderen Apple vs. Android News hier passt. An sich eine zu begrüßende Entwicklung nur befürchte ich, dass das ganze nur solange Anhält bis das nächste Android Handy "Explodiert" oder es andere (vermeintlich) negative Schlagzeilen bei Android gibt - Ich lasse mich aber gerne vom Gegenteil überraschen.

Ansonsten hat Apple hier mal richtig scheiße gebaut und Sachen falsch gemacht die man sehr früh in Ausbildung oder Studium lernt, aber ich denk mal da haben andere, schlechtere Artikel schon genügend rumgeflamt.
#9
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 29105
Zitat Namenlos;19174086
ganze hat imo hauptsächlich ganz andere Gründe und fördert die alten Vergleiche. So pauschal ist das ganze falsch und wenn man es weiter ausführt gehts am Thema vorbei.


Ja?

Op-Ed: Android Piracy Is Huge Problem for Game Devs | Game|Life | Wired.com
Infinity Blade Developers Talk Android – Piracy Concerns Prevent Android Development
Piracy Rate On Android Version Of Football Manager Is 9:1 | TheSixthAxis
Android Piracy - Real numbers - xda-developers
#10
customavatars/avatar116502_1.gif
Registriert seit: 15.07.2009
Ingolstadt/Neuburg
Bootsmann
Beiträge: 616
Ja, der Artikel ist sehr schön geschrieben...alle Fragen und Unsicherheiten wurden geklärt!
#11
customavatars/avatar46831_1.gif
Registriert seit: 07.09.2006

Oberstabsgefreiter
Beiträge: 429
Bitte mehr von solch' gut verfassten Artikeln!
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

AVM FRITZ!Fon C5 im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/AVM_C5_TEASER_KLEIN

Im Spätsommer 2015 zeigte AVM mit dem FRITZ!Fon C5 die Erweiterung der Festnetz-Familie, die bis dahin aus drei Modellen bestand. Nach längerem Test zeigt sich nun, dass bahnbrechende Veränderungen fehlen. Eine Enttäuschung ist das neue Telefon deshalb aber nicht, denn entscheidend sind die... [mehr]

Gelid ZenTree im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/GELID_ZENTREE_TEASER_KLEIN

Wer mehr als nur Smartphone und Tablet per USB-Kabel aufladen muss, wird das Kabelwirrwarr kennen. Denn natürlich müssen meistens zwei oder mehr Geräte gleichzeitig geladen werden, was nicht selten in einer ganzen Ladegeräte-Batterie endet. Mit dem ZenTree will Gelid sich genau dieses Problems... [mehr]

HTC Vive in der Praxis: Aufbau und Funktionsweise

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/HTC-VIVE/HTC-VIVE-LOGO2

2016 soll das Jahr der virtuellen Realität werden. Kaum ein Thema hat in den vergangenen Monaten für einen solchen Hype sorgen können. Dabei haben sich die Hersteller wirklich auf das Jahr 2016 konzentriert, denn angefangen bei der Consumer Electronics Show Anfang Januar, über den Mobile World... [mehr]

Ohne Kabel: Bose QuietComfort 35 und B&O Beoplay H5 im Praxistest

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/BLUETOOTH-KOPFHOERER/QUIETCOMFORT_35_LOGO

Ist der 3,5-mm-Klinke-Anschluss überhaupt wegzudenken? Mit dieser Fragen werden sich ab dem Sommer sicherlich so einige Menschen beschäftigen müssen, denn offenbar plant Apple das Weglassen des Kopfhörer-Anschlusses. Doch eigentlich sollte es bei der drahtlosen Übertragung von Musik doch um... [mehr]

Smartwatch: Vom Hoffnungsträger zum Problemfall

Logo von IMAGES/STORIES/NEWSBILDER/APPLE-WATCH-ARMBAENDER-GUIDELINES-RS

Wann genau die Geburtsstunde der Smartwatch geschlagen hat, lässt sich schwer bestimmen. Einigt man sich auf das Datum, seitdem sie in der breiteren Öffentlichkeit eine wahrnehmbare Rolle spielt, hat sie gerade den sechsten Geburtstag erlebt. Denn so alt wurde vor wenigen Tagen die Sony Ericsson... [mehr]

Test: Eve Thermo ergänzt HomeKit-Setup von Elgato

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/ELGATO-EVE/ELGATO-EVE-THERMO-LOGO

Vor einigen Wochen haben wir uns einige der ersten HomeKit-Sensoren der Eve-Serie von Elgato angeschaut. Dabei warfen wir einen Blick auf Eve Room, Eve Door & Windows, Eve Energy und Eve Weather. Zur CES kündigte Elgato eine Ausweitung der Produktlinie an und präsentierte unter anderem den... [mehr]