News & Rumors: 16. Juli 2012,

App Store: Hack gibt Zugriff auf Klartextpasswörter und Gratis-In-App-Käufe

App StoreEin russischer Entwickler hat einen Methode entwickelt, mit der man kostenpflichtige In-App-Features kostenlos erhalten kann. Für den „In-App-Proxy“ braucht man keinen Jailbreak, er funktioniert von iOS 3 bis iOS 6. Er zeigt unter anderem eine massive Schwachstelle im App Store, denn es lassen sich Klartextpasswörter anzeigen.

Der Hack stammt offenbar vom russischen Entwickler Alexey Borodin, der ein Video der Vorgehensweise veröffentlicht hat; dieses wurde allerdings bereits auf Wunsch von Apple aus dem Netz genommen. Fünf Schritte sind für den Hack nötig, unter anderem die Installation einiger Zertifikate sowie eine Änderung eines DNS-Eintrags. Nach den Vorbereitungen bekommt man ein Popup angezeigt, das das übliche Apple-Popup ersetzt. Angeblich funktioniert der Hack nicht bei allen Apps, unter anderem spielt wohl das Land eine Rolle. Zudem scheint die Art und Weise, wie In-App-Käufe validiert werden, ebenfalls eine Rolle zu spielen.

Werbung

Ein unschöner Nebeneffekt: Neben den Gratis-In-App-Käufen lassen sich Nutzernamen und Passwort auslesen, da diese Informationen nicht verschlüsselt werden, so Borodin. Diese können allerdings „nur“ vom Betreiber des betreffenden In-App-Proxys ausgelesen werden.

Apple soll das Problem derzeit genauer unter die Lupe zu nehmen.

[via]

Zuletzt kommentiert



 1 Kommentar(e) bisher

  •  Oliver (9. Mai 2013)

    Gib deinen Kommentar hier ein…


Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.



You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>