News & Rumors: 16. Juli 2012,

App Store: Hack gibt Zugriff auf Klartextpasswörter und Gratis-In-App-Käufe

App StoreEin russischer Entwickler hat einen Methode entwickelt, mit der man kostenpflichtige In-App-Features kostenlos erhalten kann. Für den „In-App-Proxy“ braucht man keinen Jailbreak, er funktioniert von iOS 3 bis iOS 6. Er zeigt unter anderem eine massive Schwachstelle im App Store, denn es lassen sich Klartextpasswörter anzeigen.

Der Hack stammt offenbar vom russischen Entwickler Alexey Borodin, der ein Video der Vorgehensweise veröffentlicht hat; dieses wurde allerdings bereits auf Wunsch von Apple aus dem Netz genommen. Fünf Schritte sind für den Hack nötig, unter anderem die Installation einiger Zertifikate sowie eine Änderung eines DNS-Eintrags. Nach den Vorbereitungen bekommt man ein Popup angezeigt, das das übliche Apple-Popup ersetzt. Angeblich funktioniert der Hack nicht bei allen Apps, unter anderem spielt wohl das Land eine Rolle. Zudem scheint die Art und Weise, wie In-App-Käufe validiert werden, ebenfalls eine Rolle zu spielen.

Ein unschöner Nebeneffekt: Neben den Gratis-In-App-Käufen lassen sich Nutzernamen und Passwort auslesen, da diese Informationen nicht verschlüsselt werden, so Borodin. Diese können allerdings „nur“ vom Betreiber des betreffenden In-App-Proxys ausgelesen werden.

Apple soll das Problem derzeit genauer unter die Lupe zu nehmen.

[via]
App Store: Hack gibt Zugriff auf Klartextpasswörter und Gratis-In-App-Käufe
3,4 (68%) 5 Bewertungen

Ähnliche Beiträge

Deutsche Umwelthilfe droht Apple wegen Elektroschr... Die Deutsche Umwelthilfe (DUH) hat ein Rechtsverfahren gegen Apple eingeleitet. Nach eigener Aussage weigert sich Apple, Elektroschrott zurückzunehmen...
McLaren: Keine Gespräche mit Apple In den letzten Tagen hatten Gerüchte die Runde gemacht, dass Apple mit dem Autohersteller McLaren in Übernahmegesprächen sei. Nun hat ein Sprecher von...
Auch iPhone 7 lässt Jailbreak zu Es gibt Neuigkeiten an der Jailbreak-Front. Einem italienischen Entwickler ist es gelungen, Apples Sicherheitsvorkehrungen vor unsignierten Programmen...
Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.






Zuletzt kommentiert



 1 Kommentar(e) bisher

  •  Oliver (9. Mai 2013)

    Gib deinen Kommentar hier ein…


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>