News & Gerüchte Apple ermittelt wegen kostenloser In-App-Käufe

[chris]

Apple will der Schwachstelle, die Gratis-In-App-Käufe im App Store ermöglicht, auf den Grund gehen.

Gestern veröffentlichte der russische Hacker Alexey Borodin eine Methode, die es iOS-Besitzern ermöglicht, sich In-App-Käufe kostenlos zu erschleichen. Heute bezog Apple Stellung und bestätigte, dass man den Sachverhalt sehr ernst nehme und derzeit nach der Schwachstelle suche.

Weiterhin erwies sich die Mutmaßung, dass Entwickler ihre Apps mit Hilfe von Kaufbestätigungen vor den Betrugsversuchen schützen könnten, als falsch. Borodin habe eigenen Aussagen zufolge mehrere hundert Dollar in In-App-Käufe investiert, um eine entsprechende Bestätigung zu generieren, für die vom Konto des Käufers schließlich kein Geld abgebucht wird. Laut dem Hacker gebe es aktuell keine Möglichkeit für iOS-Entwickler, ihre Apps vor dem Kauf-Trick zu schützen.

Die Schwachstelle, die derartige Betrügereien zulässt ist Apples Art und Weise, mit der Käufe im App Store authentifiziert werden. Entsprechende Käufe sind weder an einen bestimmten Benutzer, noch an ein Gerät gebunden. So ist es Borodin gelungen, ein und die selbe Kauf-Bestätigung immer wieder nutzen zu können.
Ganz nebenbei hat der russische Hacker auch noch ein weiteres Sicherheitsproblem bei Apple aufgedeckt. So würden die Apple-IDs und die Passwörter von iOS-Nutzern bei einem Kauf in reinem Text an das US-Unternehmen übermittelt. Die Kreditkarten-Daten seien davon jedoch nicht betroffen, so Borodin. Es bleibt abzuwarten, wie und wann Apple sein Problem mit illegalen In-App-Diebstählen lösen wird.

Quelle: PC Welt

 

[chris]

AW: Apple ermittelt wegen kostenloser In-App-Käufe

Apple und der russische Hacker, der die In-App-Käufe geknackt hat, liefern sich derzeit ein Katz- und Maus-Spiel. Apple ließ einen Server sperren, der nächste ist bereits online.

Die Möglichkeit, Zusatzinhalte für Apps kostenlos zu erwerben, klang für viele Nutzer verlockend und war ein Schock für Apple. Immerhin schneidet der Konzern 30 Prozent bei den Umsätzen der In-App-Käufe mit. Apple hatte ein Video, das demonstriert, wie man die Sicherheitsmaßnahmen umgehen und die Inhalte gratis laden kann, entfernen lassen. Außerdem wurde der ursprüngliche Server für die Abwicklung des Hacks vom Netz genommen, nachdem der Hersteller bei dessen russischem Provider vorstellig wurde. Wie The Next Web berichtet, war der Erfolg für Apple aber nur von kurzer Dauer. Der fragwürdige In-App-Gratisdienst ist nach wie vor verfügbar.

Neuer Server, neue Methode

Der neue Server für die kostenlosen In-App-Käufe ist nun nicht mehr in Russland, sondern einem nicht näher genannten Land positioniert, um eventuellen Klagen Apples auszuweichen. Außerdem wurde die Abwicklung angepasst. Bisher wurden die Passwörter von Nuztern im Klartext übertragen. Der russische Hacker, der die kostenlose In-App-Kauf-Methode entwickelt hat, hat in seiner neuesten Version des Dienstes aber einen Schutzmechanismus eingebaut, der sicherstellt, das iPhone- oder iPad-Nutzer sich vorher aus ihrem iTunes-Konto ausloggen.

Zwielichtiger Dienst

Dennoch bleibt das Angebot mehr als nur eine Grauzone. Zwar behauptet der Hacker, dass er nicht aufzeichnet, welche Geräte sich mit seinem Dienst verbinden. Ob man ihm allerdings Glauben schenken will, ist eine andere Frage. Apple wiederum dürfte sich das Problem derzeit recht intensiv ansehen. Immerhin wirbt der Anbieter oft genug mit der sicheren Abwicklung seiner Transaktionen. Dieser Ruf steht jetzt auch auf dem Spiel.

Quelle: Die Presse

 

[chris]

AW: Apple ermittelt wegen kostenloser In-App-Käufe

In der vergangenen Woche wurde ein Hack bekannt, der es ermöglicht, mit Hilfe zweier Zertifikate und eines Proxy-Serves In-App-Käufe zu tätigen, ohne dass der Anwender dafür auch nur einen Cent bezahlen muss. Ein kleiner Wettkampf zwischen Apple und dem Hacker begann. Der Hersteller aus Cupertino ergriff erste Schutzmaßnahmen und der russische Hacker optimierte sein System.
Um im Kampf gegen den russischen Hacker Alexey V. Borodin die Oberhand zu gewinnen, entschied sich Apple für einige Sofortmaßnahmen. Die IP-Adresse des Servers wurde blockiert, das YouTube Video, in dem der Hacker sein können zeigt, wurde vom Netz genommen, der Serveranbieter wurde gebeten, den Rechner offline zu nehmen und das PayPal Konto des Hackers wurde still gelegt.
Doch Borodin suchte sich einen neuen Server und optimierte sein System, um auch weiterhin kostenlose In-App-Käufe zu tätigen. Nun greift Apple zur nächsten Maßnahmen und setzt auf die individuellen Unique Device Identifier (UDID), eines jeden iOS-Gerätes. Ab sofort erhalten Entwickler auf ihren Belegen für In-App-Käufe wieder die UDID des Gerätes angezeigt. Auf diese Art und Weise können Entwickler vermutlich überprüfen, ob ein Anwender tatsächlich den Kauf getätigt hat.

Quelle: Macerkopf

 

[BaNaNaBeck]

Und wo gibt's die Anleitung dazu?

 

[chris]

AW: Apple ermittelt wegen kostenloser In-App-Käufe

Ich habe bewußt keine Anleitung eingestellt, denn so erspare ich den User eine hohe Rechnung von Apple bzw eine Löschung der Apple ID wenn sich herausstellt das dieser Dienst genutzt wurde.
Wer es dennoch versuchen möchte kann nach in-appstore googeln.