> > > > iOS App Store: In-App-Diebstahl - was dahinter steckt (Update)

iOS App Store: In-App-Diebstahl - was dahinter steckt (Update)

DruckenE-Mail
Erstellt am: von

apple logoIn den vergangenen 3-4 Tagen dominierte eine Nachricht die Apple-Welt: Ein russischer Hacker namens Alexey V. Borodin hat eine Möglichkeit gefunden, In-App-Käufe aus dem iOS App Store ohne Bezahlung zu tätigen und das ohne Jailbreak. Wieder einmal stürzten sich die Medien auf diese Meldung und extrahierten daraus die erneute Security-Apokalypse bei Apple. Die Rede war von "Man in the Middle"-Attacken und Passwörtern in Klartext, die Hintergründe kannte und kennt aber kaum jemand, auch wenn die Begriffe richtig sein mögen. Zeit das Thema einmal von vorne aufzuarbeiten:

Erstmals tauchten am Mittwoch vergangene Wochen erste Meldungen zu diesem Hack auf. Die Methode von Alexey V. Borodin nutzt gefälschte Sicherheits-Zertifikate und einen modifizierten DNS-Server. Die installierten Apps glauben daraufhin direkt mit dem App Store zu kommunizieren, sprechen allerdings nur mit dem vom Hacker betriebenen Server. Dies ist eine klassische "Man in the Middle"-Attacke. Der vom Hacker betriebene Server stellt gefälschte "Receipts" aus, die eigentlich dazu genutzt werden, um den In-App-Kauf gegenüber dem Entwickler zu verifizieren. Laut Borodin sind diese "Receipts" sehr einfach zu fälschen, da keinerlei Nutzerdaten enthalten sind und diese nicht in irgendeiner Weise gerätegebunden erstellt werden.

Um den Hack vollständig zu verstehen, muss zunächst einmal verstanden werden, wie In-App-Käufe funktionieren. Wenn ein Nutzer einen In-App-Kauf tätigt, schickt Apple ein paar Daten, das "Receipt". Die App kontaktiert daraufhin direkt die Apple-Server, um das "Receipt" zu validieren. Apple bietet den Entwicklern zwei Möglichkeiten der Validierung. Diese kann auf dem iOS-Gerät erfolgen oder aber auf einem eigenen Server, der vom App-Anbieter betrieben wird. Momentan kann der Hack nur "Receipts" erstellen, die auf dem iOS-Gerät validiert werden. Borodin will in einer nächsten Phase aber auch den Validierungs-Prozess auf den App-eigenen Servern täuschen können.

in-app-kaeufe

Apples Verantwortung

Apple bietet momentan nur in Teilen eine für Entwickler sichere Methode für In-App-Käufe. Ein Großteil der Entwickler dürfte aber auf die Validierung auf dem iOS-Gerät zurückgreifen, da diese deutlich einfacher zu implementieren ist. Das die Methode der Validierung auf dem iOS-Gerät nicht sicher ist, darf sicherlich Apple angekreidet werden. Einfach auf die zweite Methode zu verweisen, entbindet Apple nicht von seiner Verantwortung.

Ein zweiter Punkt ist die Übertragung der Apple-ID und des Passworts im Klartext. Borodin gibt an, dass er beide Datensätze auslesen kann, sobald jemand seinen Hack anwendet. Dies geschieht allerdings nur, da das iOS-Gerät über das gefälschte Sicherheitszertifikat glaubt, mit einem sicheren Apple-Server zu sprechen. Auch hier lässt sich aber sicherlich ein Großteil der Verantwortung Apple zuschreiben. Es spricht schließlich nichts dagegen Daten, auch bei einer verschlüsselten Verbindung, verschlüsselt zu übertragen.

Apple-Sprecher gegenüber The Loop:

The security of the App Store is incredibly important to us and the developer community. We take reports of fraudulent activity very seriously and we are investigating.

Sicherheitslücke stopfen

Die Sicherheitslücke zu schließen dürfte Apple nicht sonderlich schwer fallen, wird aber etwas Zeit in Anspruch nehmen. Ein iOS-Update, das die Methode der Validierung der "Receipts" verbessert, reicht aus. Dazu müssen dann aber auch alle Nutzer das Update ausführen. Wer weiterhin auf der alten iOS-Version verbleibt, kann über den Hack kostenlos In-App-Käufe tätigen. Entwickler können auf die sicherere Validierung über einen eigenen Web-Server wechseln, was allerdings zusätzlichen Arbeitsaufwand und Kosten nach sich zieht. Ein Update der App ist an dieser Stelle Pflicht. Nutzer, die weiterhin die alte Version der App nutzen, können auch weiterhin vom Hack Gebrauch machen.

Moralische Verantwortung

Der Validierungsprozess für In-App-Käufe bei Apple weist große Lücken auf. Bislang konnten Entwickler bei ähnlichen Versuchen über Methoden, die über einen Jailbreak zugänglich wurden, mit eigenen Maßnahmen gegensteuern. Beim aktuellen Hack ist dies nur durch die eigenhändige Validierung auf den eigenen Servern möglich.

Software-Piraterie ist und bleibt ein Thema - auch auf mobilen Geräten. Viele Entwickler entscheiden sich noch immer gegen die Entwicklung einer Android-App, da ihnen der Anteil der "geraubten" Installation noch immer einfach zu hoch ist. Bislang konnte Apple dieses Thema weitestgehend vernachlässigen.

Jedem Nutzer dieses Hacks muss auch klar sein, welche Daten er dem Hacker preis gibt. Da die Apple-ID und das Passwort übertragen werden, hat dieser auch vollen Zugriff auf das iTunes-Konto, mitsamt der hinterlegten Zahlungsinformationen. Wer sich später über einen gehackten und leergeräumten iTunes-Account beschwert, darf nicht allzu viel Mitleid erwarten. Aus offensichtlichen Gründen verzichten wir auch auf die Verlinkung zu Anleitungen, die diesen Hack möglich machen.

Sicherlich kann man sich über die Vor- und Nachteile des Freemium-Modells, Spiele kostenlos anbieten und dann über In-App-Käufe refinanzieren, unterhalten. Dem Nutzer wird aber immer eine Wahl gelassen: nicht kaufen! Eine Argumentation man sähe ja nicht ein dafür Geld zu zahlen, kann nicht akzeptiert werden.

Update:

Im Rahmen der gegebenen Möglichkeiten versucht Apple derzeit gegen den Hack vorzugehen. Zum einen bittet Apple Google darum die Videos mit Anleitungen von Youtube zu entfernen, was auch teilweise schon geschehen ist. Weiterhin blockt Apple inzwischen die IP-Adressen der bekannten Server und hat die Anbieter um die Abschaltung der selbigen gebeten.

Borodin hingegen will Server außerhalb Russlands anmieten, um die Methode weiter anbieten zu können. Damit umginge er auch die IP-Sperren. Inzwischen warnen auch Sicherheitsexperten vor der Nutzung des Hacks, da nicht nur der Datenverkehr für den App Store mitgeschrieben werden könnte, sondern auch sämtliche andere sichere Verbindungen offenliegen könnten.

Social Links

Ihre Bewertung

Ø Bewertungen: 4.67

Tags

Kommentare (11)

#2
customavatars/avatar17999_1.gif
Registriert seit: 16.01.2005

Say my name.
Beiträge: 1560
Ich hab's verstanden :fresse: guter Artikel!
#3
customavatars/avatar19593_1.gif
Registriert seit: 17.02.2005

Redakteur
Beiträge: 12211
Wirklich schöner Artikel - keine Hetzjagd wie auf einigen anderen Seiten...informativ, sachlich und mit guten Hintergrundinfos gespickt :)
#4
Registriert seit: 20.02.2007

Leutnant zur See
Beiträge: 1072
Sehr übersichtliche und nachvollziehbar. Auch für Leute die nach technisch nicht so versiert sind.
#5
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 29403
Danke für das Lob. Mir sind einmal mehr die Überschriften wie "Apple überträgt Passwörter im Klartext" böse aufgestoßen. Da wird dann mit der Angst der Nutzer gespielt.
#6
customavatars/avatar33106_1.gif
Registriert seit: 09.01.2006

Admiral
Beiträge: 15719
Toller Artikel!

Einfach der beste Artikel seit langer Zeit.

Mehr muss nicht gesagt werden.
#7
customavatars/avatar134821_1.gif
Registriert seit: 18.05.2010
Kreis Unna
Vizeadmiral
Beiträge: 6750
Wirklich super geschrieben!
hut ab
#8
Registriert seit: 01.12.2005

Bootsmann
Beiträge: 626
Schöner Artikel bis auf:
Zitat
Software-Piraterie ist und bleibt ein Thema - auch auf mobilen Geräten. Viele Entwickler entscheiden sich noch immer gegen die Entwicklung einer Android-App, da ihnen der Anteil der "geraubten" Installation noch immer einfach zu hoch ist. Bislang konnte Apple dieses Thema weitestgehend vernachlässigen.


Das ganze hat imo hauptsächlich ganz andere Gründe und fördert die alten Vergleiche. So pauschal ist das ganze falsch und wenn man es weiter ausführt gehts am Thema vorbei. Praktisch genauso wäre es, wenn man in diesem Artikel auf das verschlossene closed source iOs geschimpft hätte, nämlich zu großen teilen falsch und unpassend.

Ansonsten sehr neutral geschrieben, was nicht umbedingt zu den anderen Apple vs. Android News hier passt. An sich eine zu begrüßende Entwicklung nur befürchte ich, dass das ganze nur solange Anhält bis das nächste Android Handy "Explodiert" oder es andere (vermeintlich) negative Schlagzeilen bei Android gibt - Ich lasse mich aber gerne vom Gegenteil überraschen.

Ansonsten hat Apple hier mal richtig scheiße gebaut und Sachen falsch gemacht die man sehr früh in Ausbildung oder Studium lernt, aber ich denk mal da haben andere, schlechtere Artikel schon genügend rumgeflamt.
#9
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 29403
Zitat Namenlos;19174086
ganze hat imo hauptsächlich ganz andere Gründe und fördert die alten Vergleiche. So pauschal ist das ganze falsch und wenn man es weiter ausführt gehts am Thema vorbei.


Ja?

Op-Ed: Android Piracy Is Huge Problem for Game Devs | Game|Life | Wired.com
Infinity Blade Developers Talk Android – Piracy Concerns Prevent Android Development
Piracy Rate On Android Version Of Football Manager Is 9:1 | TheSixthAxis
Android Piracy - Real numbers - xda-developers
#10
customavatars/avatar116502_1.gif
Registriert seit: 15.07.2009
Ingolstadt/Neuburg
Bootsmann
Beiträge: 616
Ja, der Artikel ist sehr schön geschrieben...alle Fragen und Unsicherheiten wurden geklärt!
#11
customavatars/avatar46831_1.gif
Registriert seit: 07.09.2006

Oberstabsgefreiter
Beiträge: 429
Bitte mehr von solch' gut verfassten Artikeln!
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

AVM FRITZ!Fon C5 im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/AVM_C5_TEASER_KLEIN

Im Spätsommer 2015 zeigte AVM mit dem FRITZ!Fon C5 die Erweiterung der Festnetz-Familie, die bis dahin aus drei Modellen bestand. Nach längerem Test zeigt sich nun, dass bahnbrechende Veränderungen fehlen. Eine Enttäuschung ist das neue Telefon deshalb aber nicht, denn entscheidend sind die... [mehr]

HTC Vive in der Praxis: Aufbau und Funktionsweise

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/HTC-VIVE/HTC-VIVE-LOGO2

2016 soll das Jahr der virtuellen Realität werden. Kaum ein Thema hat in den vergangenen Monaten für einen solchen Hype sorgen können. Dabei haben sich die Hersteller wirklich auf das Jahr 2016 konzentriert, denn angefangen bei der Consumer Electronics Show Anfang Januar, über den Mobile World... [mehr]

Ohne Kabel: Bose QuietComfort 35 und B&O Beoplay H5 im Praxistest

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/BLUETOOTH-KOPFHOERER/QUIETCOMFORT_35_LOGO

Ist der 3,5-mm-Klinke-Anschluss überhaupt wegzudenken? Mit dieser Fragen werden sich ab dem Sommer sicherlich so einige Menschen beschäftigen müssen, denn offenbar plant Apple das Weglassen des Kopfhörer-Anschlusses. Doch eigentlich sollte es bei der drahtlosen Übertragung von Musik doch um... [mehr]

Logi ZeroTouch im Test - Wird wirklich aus jedem Auto ein Connected Car?

Logo von IMAGES/STORIES/REVIEW_TEASER/LOGI_ZEROTOUCH_TEASER_KLEIN

Das Smartphone ist eine der größten Gefahrenquellen im Auto. Schon das kurze Lesen einer neuen Nachricht reicht aus, um schwere Unfälle mit dramatischen Folgen zu verursachen. Dabei gibt es mittlerweile zahlreiche Mittel und Wege, um die Ablenkung zu minimieren. Alles zu aufwendig, dachte sich... [mehr]

Samsung Gear S3 im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/SAMSUNG_GEAR_S3_TEASER_KLEIN

Während das Android-Wear-Lager Pause macht, legt Samsung nach. Mit der auf der IFA 2016 vorgestellten Gear S3 bleibt man dem Konzept des Vorgängers treu, will hier und da aber Schwachstellen beseitigt und Stärken weiter ausgebaut haben. Das Ergebnis ist eine größere und schwerere Smartwatch,... [mehr]

Netgear Arlo Pro im Test - Kabellose Überwachungskamera mit Cloud

Logo von IMAGES/STORIES/2017/NETGEAR_ARLO_PRO-TEASER

Netgears Arlo-Cams sind schon seit einiger Zeit auf dem Markt und sicher jedem ein Begriff, der schon einmal in Betracht gezogen hat, in seinen eigenen vier Wänden oder auf seinem Grundstück eine Video-Überwachung zu installieren. Jetzt gibt es mit Arlo Pro ein neues Top-Modell, das wir... [mehr]