Apple will In-App-Klau-Problem mit iOS 6 beheben
Bis zum Release der neuen Betriebssystemversion soll eine temporäre Lösung Entwicklern gegen Man-in-the-Middle-Angriffe beistehen.
Apple will eine Man-in-the-Middle-Lücke, mit der In-App-Einkäufe von Inhalten ohne Bezahlung möglich sind, in iOS 6, das im Herbst erwartet wird, endgültig stopfen. Wie ein Firmensprecher gegenüber CNet sagte, helfe das Unternehmen bis dahin mit einer temporären Lösung aus. Dazu veröffentlichte Apple am Freitag ein neues Supportdokument, in dem erläutert wird, wie sich Apples Validierungssystem für In-App-Einkaufsquittungen (Receipts) nutzen lässt, um betrügerische Transaktionen zu erkennen. Der Computerkonzern schickte außerdem eine E-Mail an iOS-Entwickler, um sie auf das Problem aufmerksam zu machen.
Apples Zwischenlösung arbeitet mit einem neu eingeführten Hash-Wert, der an ein Zertifikat in einer App gebunden ist, bei jeder Transaktion berechnet wird und sich durch Entwickler zweifelsfrei überprüfen lassen soll. Interessanterweise erlaubt das Unternehmen dazu den Zugriff auf private APIs, was für iOS-Entwickler normalerweise ein großes "No-Go" ist.
Das In-App-Klau-Problem ergab sich daraus, dass Receipts standardmäßig nicht ausreichend überprüft wurden – eine Verifizierung über eine Serverlösung war laut Apple fakultativ. Eine Kombination aus gefälschten Zertifikaten und manipulierten DNS-Servern erlaubte es so, Apps auf einem iOS-Gerät auch ohne Jailbreak einen echten Kauf vorzugaukeln. Der russische Entwickler des Hacks hat mittlerweile auch gezeigt, dass sich die Methode im Mac App Store einsetzen lässt. Hierzu hat sich Apple bislang noch nicht geäußert. (bsc)
