In-App-Klau jetzt auch im Mac App Store
Vergangene Woche machte ein "Hack" die Runde, mit dem ein russischer Entwickler Einkäufe innerhalb von iOS-Apps kostenlos abwickelte. Jetzt zeigt er, dass derselbe Trick auch für Anwendungen aus dem Mac App Store funktioniert.
Wer das Risiko einging, in sein iOS-Gerät das Zertifikat des russischen Entwicklers zu importieren und sein Gerät dessen DNS-Server benutzen ließ, kam in den kostenlosen Genuss einiger In-App-Käufe. Der Trick des Entwicklers [1] bestand darin, einen Stellvertreter für Apples Server einzusetzen, der den Apps den erfolgten Kauf der extra zu bezahlenden Funktionen signalisierte.
Das klappte nur für Apps, die lediglich den In-App-Kauf per Nachfrage prüfen, nicht jedoch solche, die weitere Inhalte herunterladen oder mit dem Server des App-Herstellers Kontakt aufnehmen. Da der Server des Entwicklers als Man-in-the-middle auftrat, war es ihm ohne weiteres möglich, an Apple übertragene Informationen mitzuschneiden. Das betrifft offenbar auch die Passwörter für den App-Store.
Jetzt hat der russische Entwickler einen ähnlichen Trick [2] auch für die Apps im Mac App Store [3] vorgestellt. Wieder müssen Zertifikate installiert werden, um das System einer weiteren Zertifizierungsstelle vertrauen zu lassen, und ein anderer DNS-Server eingesetzt werden. Auf dem Mac ist zusätzlich ein Programm namens "Grim Receiper" nötig. Angeblich klappt das Verfahren nur auf Systemen mit Mac OS X 10.7.
Für die iOS-Welt hat Apple bereits reagiert und Entwicklern APIs bereitgestellt, mit denen sie In-App-Käufe verifizieren [4] können. Ob die auch für Mac OS X und den Mac App Store nutzbar sind, ist nicht klar. Es dürfte nur eine Frage der Zeit sein, wann Apple und die Entwickler die für den Man-in-the-middle-Trick anfälligen In-App-Käufe zusätzlich absichern.
Man mag aus den Hacks ableiten können, dass die Architektur angreifbar ist, aber an erster Stelle versagen hier die Nutzer: Wer aus Spartrieb oder Neugier sein System Zertifikate und DNS-Server nutzen lässt, die von weitgehend Unbekannten bereitgestellt werden, liefert sich denen aus. Die können zukünftig unbemerkt jede Art von vermeintlich sicherer Kommunikation mitschneiden und manipulieren. (ps [5])
URL dieses Artikels:
https://www.heise.de/-1649330
Links in diesem Artikel:
[1] https://www.heise.de/news/In-App-Klau-ohne-Jailbreak-1641253.html
[2] http://www.in-appstore.com/2012/07/introducing-to-in-appstore-on-os-x.html
[3] http://www.apple.com/de/macosx/whats-new/app-store.html
[4] http://developer.apple.com/library/ios/#releasenotes/StoreKit/IAP_ReceiptValidation/_index.html
[5] mailto:ps@ct.de
Copyright © 2012 Heise Medien