In-App-Klau ohne Jailbreak

Per Hack lassen sich In-App-Einkäufe in Apples App Store ohne Bezahlung herunterladen - ohne Jailbreak. Nutzer gehen bei der Anwendung des Hacks jedoch ein hohes Sicherheitsrisiko ein.

In Pocket speichern vorlesen Druckansicht 314 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Achim Barczok

Ein Hack hebelt Apples Bezahlsystem für In-App-Einkäufe aus.

Ein seit Freitag im Netz kursierender Hack ermöglicht es, sogenannte In-App-Käufe im Apples App Store für einige Apps kostenlos herunterzuladen. Neu ist die Sicherheitslücke nicht, wohl aber die Methode: Bereits im Vorjahr knackten Hacker Apples Bezahlsystem für Einkäufe innerhalb von Apps, dazu war aber ein Jailbreak des iOS-Geräts nötig. Die von dem russichen Entwickler Alexey V. Borodin veröffentlichte Methode kommt dagegen auch ohne Jailbreak aus: Sie erfordert die Installation von manipulierten CA-Zertifikaten auf dem Smartphone oder Tablet sowie die Umleitung der Internetverbindung über einen DNS-Server des Hackers, wie 9to5Mac berichtete.

Apple sagte gegenüber mehreren Tech-Newsseiten, dass das Unternehmen zu dem Hack Nachforschungen betreibe. Ein Tutorial-Video, das den Hack demonstriert, hat Youtube aus "Urheberrechtsansprüchen von Apple" inzwischen gesperrt. Auch der DNS-Server des Entwicklers scheint mittlerweile von Apple geblockt zu werden, schreibt er auf seiner eigenen Webseite in-appstore.com unter dem Pseudonym ZonD Eighty. Er kündigte dort aber am heutigen Sonntag an, in Kürze eine neue, funktionierende Anleitung zu veröffentlichen.

Abgesehen davon, dass die Methode in Deutschland illegal sein dürfte, ist von der Nutzung auch aus Sicherheitsaspekten in höchstem Maße abzuraten. Der Hack hebelt die Sicherheitsvorkehrungen von Apple aus, Account-Informationen wie das App-Store-Passwort per SSL zwischen Gerät und Apple-Server zu übermitteln. Durch die Umleitung dieser Kommunikation zu einem externen Server kann der Server-Betreiber wie ein "Man-In-The-Middle" – in diesem Fall der Hack-Entwickler Borodin – diese Informationen auslesen, wie Borodin gegenüber dem Magazin Macworld übrigens bestätigte. Auf seiner Webseite betonte Borodin, dass er diese jedoch nicht sammle und dass der Hack auch ohne Eingabe eines gültigen Passworts funktioniere. (acb)