Pepsihack gegen Apples Musikshop

Manche Security-Postings bringen selbst ausgebuffte IT-Sicherheitsexperten zum Schmunzeln, obwohl sie eigentlich gar nicht richtig witzig sind: Da Pepsi-Flaschen nicht bis zum Rand befüllt werden, ist es möglich, Informationen auszuspähen und sich damit kostenlos Musikstücke von Apples iTunes Music Store zu erschleichen. Das eigentlich als Scherz auf mehreren Sicherheitsmailinglisten gepostete Security Advisory beschreibt die Möglichkeit, im Inneren der Flaschenverschlüsse eingeprägte Gewinncodes auszuspähen, ohne den Verschluss abzudrehen. So richtig witzig dürften aber zumindest die beiden Marketingpartner Apple und Pepsi das Ganze nicht finden: Spart man sich doch den Kauf der Flasche, kann aber den Gewinncode anschließend in Apples Online-Store eingeben, um aktuelle Songs herunterzuladen -- immerhin 99 Cent spart man dabei. Etwas mühselig, aber machbar scheint es zu sein, tatsächlich den vollständigen Code für einen Download herauszufinden -- sehr einfach ist es aber, den Kauf derjenigen Pepsi-Flaschen zu vermeiden, die keinen Gewinncode enthalten, sondern in deren Deckel lediglich "again" eingedruckt ist.

Anlass des auch auf CNet aufgegriffenen Themas war eine am vergangenen Super Bowl Sunday gemeinsam von Apple und Pepsi initiierte Kampagne zur Verlosung von 100 Millionen Songs. Hält man eine Pepsi-Flasche im Winkel von 25 Grad, so ist die Inschrift der Kappe lesbar -- wer hätte das gedacht. Derartige Social-Engineering-Attacken gab es laut Advisory schon bei ähnlichen Kampagnen des Herstellers Mountain Dew mit "Free Soda".

Der Hersteller ist von dem Problem bereits informiert, ein Patch oder Workaround gibt es nicht. In zukünftigen Versionen soll der Füllstand der Flasche erhöht werden. Die Entdecker der Sicherheitslücken haben bereits eine Anleitung veröffentlicht -- bei herkömmlichen Sicherheitslücken würde man so etwas Proof-of-Concept-Exploit nennen.

Siehe dazu auch: (dab)

• Security Advisory auf Full Disclosure