Skip to content

Russische Hacker umgehen In-App Käufe ohne Jailbreak [UPDATE]

Geschrieben von Florian Schimanke am

Zugegeben, ich bin kein großer Freund der In-App Purchases. Und das sage ich, obwohl das Spendesystem innerhalb meiner App darauf basiert. Die Verwendung dieser Funktion hat allerdings dazu geführt, dass viele Entwickler nur noch "halbe" Apps kostenlos oder günstig in den AppStore stellen und man dann innerhalb der App weiter zur Kasse gebeten wird. Statistiken zeigen inzwischen, dass die User dabei deutlich mehr ausgeben, als sie normalerweise für den Kauf einer App bereit wären zu zahlen. Aus wirtschaftlicher Sicht also ein absolut nachvollziehbarer Schritt mancher Entwickler. Beliebt macht man sich damit aber oft nicht. Der Meinung sind wohl auch ein paar russische Hacker, die nun einen Weg gefunden haben, der App vorzugaukeln, dass ein In-App Purchases erfolgreich durchgeführt wurde, in Wahrheit aber gar nicht gezahlt wurde. Dies ist auf jedem iOS-Gerät vollkommen ohne Jailbreak möglich. Man installiert dazu lediglich zwei von den Hackern zum Download angebotene iPhone-Zertifikate, die die DNS-Einstellungen auf dem Gerät ändern und über einen modifizierten HTTP-Header dem Gerät anschließend den erfolgreichen In-App Kauf vortäuschen. In der Informatik spricht man dabei von einem "Man-in-the-Middle" Angriff.

An dieser Stelle wird sich der eine oder andere Leser evtl. den Download-Link zu den beiden angesprochenen Zertifikaten und eine Anleitung zur Vorgehensweise wünschen. Auf diesen verzichte ich an dieser Stelle (anders als diverse andere Apple-Seiten) jedoch ganz bewusst und spreche stattdessen eine deutliche Warnung vor der angesprochenen Vorgehensweise aus. Denn während man auf diese Weise vielleicht den einen oder anderen Euro sparen kann, könnte man an anderer Stelle deutlich teurer bezahlen - nämlich mit seinen Daten. So werden im Hintergrund Daten von dem Gerät auf die russischen Server übertragen. Welche genau ist dabei unklar. Fakt ist aber, dass ich niemandem irgendwelche Daten auf diese Weise geben möchte.

Darüber hinaus sollte einem bewusst sein, dass man damit nichts weiter als Diebstahl betreibt. Die Preise im AppStore sind ohnehin bereits soweit im Keller, dass nur die wenigsten kleinen Entwickler davon leben können. Schadet man ihnen auch noch auf diese Weise, ist damit auf lange Sicht niemandem geholfen. Daher also der Aufruf, die Finger davon zu lassen. Zum Wohle der eigenen Daten und zum Wohle des AppStore.

Von Apple gibt es aktuell keine Stellungnahme. Allerdings merkt Matt Panzarino korrekt an, dass entsprechend abgesicherte In-App Purchases deutlich schwieriger zu hacken sind. Apple liefert seinen Entwicklern hierfür sogar eine entsprechende Dokumentation.

UPDATE: Inzwischen hat sich Apple gegenüber The Loop zu dem Thema mit den folgenden Worten geäußert: "The security of the App Store is incredibly important to us and the developer community,” Apple representative Natalie Harrison, told The Loop. “We take reports of fraudulent activity very seriously and we are investigating."

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Hermann am :

Danke das jemand das Thema auch mal aus einer anderen Perspektive betrachtet! Auf allen anderen Seiten hört sich die Meldung an als sollte der Hacker den Nobelpreis gewinnen.

Ich bin ganz deiner Meinung, Flo!

magista obra pas cher am :

I enjoy just what youve got right below, adore just what youre stating and also the method you claim it. You make it enjoyable and you even now handle in order to help maintain it sensible.

Tom am :

sehe ich ganz genau so. die paar kröten sollte jeder iphone besitzer übrig haben. ich fahre ja auch nicht an die tanke, mache meine karre randvoll und fahre dann ohne zu bezahlen weg!

Flo am :

Ein sehr schöner Vergleich!

Christof am :

Ein grosses Bravo für Flo!!! "Geiz ist geil" ist nicht immer geil!
Darum von mir gleich eine Spende an Flo ausgelöst. Mach weiter so...

Samet am :

Hahahaha Flo bin immer auf deiner Seite aber das mit den Daten glaubst ja nicht mal du oder wie wenn Facebook und Co nicht die Daten nehmen ; )

Also solange es geht machen Leute den heut zutage wird man eh nur abgezockt an jeder Ecke

Okey es trieft die entwikler aber weist was so ist das leben keinen wird was geschenkt

Meine meinung Leute

Baschdi am :

Du bist genauso clever wie du dich ausdrückst!

mercurial superfly pas cher am :

Really great blog site and posts. I examine your blog site everyday as well as aim to find out something from your blog site.

Sanora Blandin am :

Hi! This message could possibly certainly not be actually created any type of much better! Reviewing this message advises me from my previous area buddy!

nike hypervenom phantom am :

Excellent release i have to state as well as lots of thanks for that info. We value your very own publish as well as expect a lot a lot more.

Cletus am :

Much required for reserving an ideal chance to review this, I feel firmly regarding this and also adore conforming a lot more on this factor. On the off possibility that likely, as you pick up proficiency, will you mind upgrading your website along with additional records? This is considerably valuable for me.

Kevin am :

Na ja ich weis nicht, ein paar Euro würde ich für ne gute app schon ausgeben. Aaaaaber manche übertreiben es mit den inapp Käufen, wenn ich mir nur mal Run tastic anschaue, oder andere Apps, man zahlt nachher 50-60 Euro für eine app. Auf futurezone.at habe ich sogar gelesen das es treffen von solchen Entwicklern gibt, wo sich dann ausgetauscht wird wie man den Nutzer Noch weiter systematisch ausnehmen kann. Und ganz ehrlich das kann es doch echt nicht sein oder ???

AppStore am :

Also ganz ehrlich: ich dachte schon das ist doch cool! Meine Frage ist nur: ist es auch für In-App-Käufe wie Vollversionen möglich? Denn es nutzt ja nur Extras. Besonders wundert mich, dass das so klappt! Denn ich dachte man kauft diese immer und immer wieder...

Aber das mit den Daten hat eigentlich jeder Google-Nutzer... Nur was passiert mit den Daten? Das ist das einzige was ich als Grenze sehe. Und wie sieht es rechtlich aus? Kann Apple da eine saftige Strafe aushängen?

Ralf am :

Pfuiiiii.....
Sowas nutzen doch nur Leute, die keine Ahnung haben, wieviel Zeit eine App zu entwickeln in Anspruch nimmt. Ich zahle gerne für eine App. Denn was wäre das iPhone oder iPad OHNE seine Entwickler und ihre Apps.
Wäre ganz schön langweilig so ohne die angry birds, sozialen Netzwerke, Flo's Weblogapp und Navigationssysteme usw......

Bronwyn am :

when i go through the all comments here, i can easily say that there are some individuals which knows exactly what to chat however it is ludicrous that many people do not have any sort of concept regarding the subject matter but still insisting on commenting.

MikeInB am :

An alle die jetzt hier schreiben "meine daten sind doch eh schon bei apple/facebook/google/cia/al qaida" euch möchte ich da nur halb recht geben... Durch diese DNS änderung werden ALLE Daten übertragen, also nicht nur Handynummer, Standort und google suchanfrage sondern auch wichtigere dinge wie zum Beispiel die Online Banking Daten.
Das sollte dazu auch erwähnt werden!
Ich gehöre selbst zu den menschen denen das ganze Datenschutz gelaber bezüglich google und facebook aufn sack geht, dort kann ich mit nem gesunden menschenverstand nix schlimmes anrichten, aber meine bankdaten bei anderen kriminellen (hier sei noch gesagt, dass es sich eigentlich um Cracker handelt und nicht um Hacker. Hacker sind im Allgemeinen dazu da, Sichereitslücken für das Allgemeinwohl einer Firma/Privatperson ausfindig zu machen und diese dann stillschweigend zu beheben, wohingegen Cracker diese Informationen offen als Illegale Mittel nutzen. Das ist hier gegeben) Crackern zu lassen ist mir für 79cent dann doch zu hardcore.
Außerdem schadet es wie Flo und andere Kommentatoren gesagt haben dem Store und den Entwicklern...

AppStore am :

MikeInB: Das stimmt nur fast... Es wird gesagt, man soll es nur zum öffnen der In-App-Käufe nutzen. Für sonst nichts! Aber es wird ein unsicheres VeriSign-Zertifikat genutzt, welches das iOS massiv verändert!!! Ich bin mir sicher, dass auch Symantec bald dagegen vorgehen wird um das zu unterlassen!

MikeInB am :

@AppStore, sind wir doch mal ehrlich, rund 60%der iPhone Nutzer wissen gerade mal wie sie Apps aufs iPhone installieren.
Daher würde es mich nicht wundern wenn viele das Zertifikat einfach an lassen...

Lucy_Fairy am :

Letztlich zeigt uns dies doch zumindest eines; das Konzept der In-App.-Käufe muss noch einmal überarbeitet werden.

Marcel am :

@Samet: Hast du überhaupt einen Satz von Flo verstanden? Es geht nicht darum, dass mir jemand etwas schenkt sondern ob mich jemand beklaut.
Leute wie dich könnte ich ****** und dann ****** und danach *******, aber hey mach dir nichts draus, man hat uns ja nicht allen Gehirn bei der Geburt geschenkt. Wenn es sowas als In-App geben würde, wärst

Marcel am :

... du bestimmt auch bereit dir sowas zu kaufen ;)

Steven am :

My prolonged internet investigation has eventually been compensated along with beneficial suggestions to provide my visitors.

Royal am :

My prolonged internet inspection has actually finally been recompensed with valuable ideas to show to my site visitors.

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen