App Store: Hack gibt Zugriff auf Klartextpasswörter und Gratis-In-App-Käufe
kg, den 16. Juli 2012Ein russischer Entwickler hat einen Methode entwickelt, mit der man kostenpflichtige In-App-Features kostenlos erhalten kann. Für den „In-App-Proxy“ braucht man keinen Jailbreak, er funktioniert von iOS 3 bis iOS 6. Er zeigt unter anderem eine massive Schwachstelle im App Store, denn es lassen sich Klartextpasswörter anzeigen.
Der Hack stammt offenbar vom russischen Entwickler Alexey Borodin, der ein Video der Vorgehensweise veröffentlicht hat; dieses wurde allerdings bereits auf Wunsch von Apple aus dem Netz genommen. Fünf Schritte sind für den Hack nötig, unter anderem die Installation einiger Zertifikate sowie eine Änderung eines DNS-Eintrags. Nach den Vorbereitungen bekommt man ein Popup angezeigt, das das übliche Apple-Popup ersetzt. Angeblich funktioniert der Hack nicht bei allen Apps, unter anderem spielt wohl das Land eine Rolle. Zudem scheint die Art und Weise, wie In-App-Käufe validiert werden, ebenfalls eine Rolle zu spielen.
Ein unschöner Nebeneffekt: Neben den Gratis-In-App-Käufen lassen sich Nutzernamen und Passwort auslesen, da diese Informationen nicht verschlüsselt werden, so Borodin. Diese können allerdings „nur“ vom Betreiber des betreffenden In-App-Proxys ausgelesen werden.
Apple soll das Problem derzeit genauer unter die Lupe zu nehmen.
[via]