In-App-Klau jetzt auch im Mac App Store

Vergangene Woche machte ein "Hack" die Runde, mit dem ein russischer Entwickler Einkäufe innerhalb von iOS-Apps kostenlos abwickelte. Jetzt zeigt er, dass derselbe Trick auch für Anwendungen aus dem Mac App Store funktioniert.

In Pocket speichern vorlesen Druckansicht 169 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Peter Siering

Wer das Risiko einging, in sein iOS-Gerät das Zertifikat des russischen Entwicklers zu importieren und sein Gerät dessen DNS-Server benutzen ließ, kam in den kostenlosen Genuss einiger In-App-Käufe. Der Trick des Entwicklers bestand darin, einen Stellvertreter für Apples Server einzusetzen, der den Apps den erfolgten Kauf der extra zu bezahlenden Funktionen signalisierte.

Das klappte nur für Apps, die lediglich den In-App-Kauf per Nachfrage prüfen, nicht jedoch solche, die weitere Inhalte herunterladen oder mit dem Server des App-Herstellers Kontakt aufnehmen. Da der Server des Entwicklers als Man-in-the-middle auftrat, war es ihm ohne weiteres möglich, an Apple übertragene Informationen mitzuschneiden. Das betrifft offenbar auch die Passwörter für den App-Store.

Jetzt hat der russische Entwickler einen ähnlichen Trick auch für die Apps im Mac App Store vorgestellt. Wieder müssen Zertifikate installiert werden, um das System einer weiteren Zertifizierungsstelle vertrauen zu lassen, und ein anderer DNS-Server eingesetzt werden. Auf dem Mac ist zusätzlich ein Programm namens "Grim Receiper" nötig. Angeblich klappt das Verfahren nur auf Systemen mit Mac OS X 10.7.

Für die iOS-Welt hat Apple bereits reagiert und Entwicklern APIs bereitgestellt, mit denen sie In-App-Käufe verifizieren können. Ob die auch für Mac OS X und den Mac App Store nutzbar sind, ist nicht klar. Es dürfte nur eine Frage der Zeit sein, wann Apple und die Entwickler die für den Man-in-the-middle-Trick anfälligen In-App-Käufe zusätzlich absichern.

Man mag aus den Hacks ableiten können, dass die Architektur angreifbar ist, aber an erster Stelle versagen hier die Nutzer: Wer aus Spartrieb oder Neugier sein System Zertifikate und DNS-Server nutzen lässt, die von weitgehend Unbekannten bereitgestellt werden, liefert sich denen aus. Die können zukünftig unbemerkt jede Art von vermeintlich sicherer Kommunikation mitschneiden und manipulieren. (ps)