Digital Eliteboard - Das große Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Mac App Store: Wie Scammer Apples App-Prüfer austricksen

Ein Sicherheitsforscher hat mehrere Apps im Mac App Store entdeckt, die darauf angelegt sind, Nutzer und das App Review Team von Apple zu täuschen. Die Apps, die Namen wie "PDF Reader", "Screen Recorder" oder "Webcam Expert" tragen, verleiten zu teuren In-App-Abos und liefern dafür keine Leistung. Der Fund dokumentiert, mit welchen Methoden Scammer vorgehen. Er zeigt aber auch, dass Apple trotz aller Bemühungen selbst in den US-Charts Apps hat, die durch das aufgezogene Sicherheitsnetz durchschlüpfen.

Die jetzt entdeckten Apps werden
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, der als Sicherheitsforscher unter "Privacy1St" in Erscheinung tritt, alle vom gleichen chinesischen Entwickler gesteuert. Dieser habe sieben verschiedene Entwickler-Accounts angelegt, unter denen verschiedene Apps eingereicht wurden, die aber alle der gleichen Systematik folgen. Mit der Vielzahl solle erreicht werden, einen möglichst hohen Marktanteil gegen andere Apps zu erreichen. Zugleich weist Kleber nach, dass mit wortgleichen positiven Bewertungen erreicht werden soll, dass Besucher des Mac App Stores die App interessant finden und herunterladen.

Spezielle Ansichten für App-Prüfer​

Das App Review von Apple wird laut Kleber getäuscht, indem die wahren Absichten der App im Reviewprozess kaschiert werden. Statt der Aufforderung, zum großen Teil gar nicht vorhandene Leistungen zu abonnieren und das Geld einzukassieren, sehen Apples Prüfer nur die dahinterliegende App und ein verändertes Userinterface. Nach Veröffentlichung im Mac App Store steuert der Entwickler das User-Interface mittels einer verschlüsselten JSON-Datei.

Merkwürdige Datentransfers​

Bedenklich ist auch, dass die App verschlüsselte Daten herunterlädt, die Zertifikate und URLs enthalten, um VPN-Verbindungen aufzubauen. Welchen Zweck das hat, bleibt unklar – ein Zusammenhang mit den eigentlichen Funktionen der App ist zumindest nicht zu erkennen.
Für Apple ist die Entdeckung unangenehm zu einer Zeit, in der
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Apple begründete die Notwendigkeit des bisherigen Systems immer damit,
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Im Gegensatz zu iPhone und iPad stellt sich auf dem Mac allerdings nicht die Frage nach einer Zulassung von Sideloading, da Mac Apps immer schon direkt geladen werden konnten. Allerdings erhöhte Apple mit der
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
auch für Apps außerhalb des Mac App Stores die Hürden.

An den aufgezeigten Beispielen ist zu erkennen, dass die Methoden der Scammer zum Teil nur mit erheblichem Aufwand durchschaut werden können. Da Apple andererseits
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
gerecht werden muss und möchte, neue Apps und Updates so schnell wie möglich zuzulassen, stellt sich die Frage, ob Apple dem formulierten hohen Anspruch wirklich gerecht werden kann. Bereits in den vergangenen Monaten und Jahren
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, die Zweifel aufkommen ließen.

Quelle: heise
 
Oben