Apple App Store: In App Käufe geknackt

Eine inzwischen sehr beliebte Methode für App Entwickler mit ihren Programm Geld zu verdienen sind In App Käufe. Eine App kann zunächst kostenlos aus dem App Store geladen werden. Wer dann bestimmte Extras oder bei Spielen schneller weiterkommen möchte, der kann dies mit Hilfe von In App Käufen tun. Einem russischen Hacker ist es jetzt gelungen, Apples Bezahlsystem auszuhebeln und so ohne Bezahlung an Gegenstände oder Funktionen aus In App Käufen zu kommen.

Kostenlose In App Käufe ohne Jailbreak möglich

Ganz neu ist das nicht, die entsprechende Sicherheitslücke gibt es schon seit längerer Zeit. So gelang es bereits 2011, die Funktion für In App Käufe zu knacken und kostenpflichtige Inhalte so kostenlos herunterzuladen. Allerdings war dafür ein Jailbreak nötig. Mit dem neuen Hack von Alexander Borodin, bei dem ein Zertifikat eingebunden und ein DNS-Eintrag geändert wird benötigt man kein iOS-Gerät mit Jailbreak mehr.

Ein Video, das den Vorgang genau beschreibt, wurde inzwischen von der Video-Plattform YouTube entfernt, auf Druck von Apple. Der Konzern aus Cupertino gab außerdem an, dass der Vorfall untersucht und das Problem schnellstmöglich behoben werden soll. Der Server des Entwicklers wird bereits von Apple geblockt, wie Borodin auf seiner Website schreibt. Er erklärte jedoch auch, dass er schon bald eine neue Anleitung veröffentlichen werde. Nach Angaben von Chip Online wurden bereits rund 30.000 In App „Käufe“ ohne Bezahlen abgewickelt.

Verschiedene Websites weisen bereits darauf hin, dass von der Nutzung dieses Hacks abzusehen sei. Denn zum einen ist diese Methode natürlich illegal (und auch den App Entwicklern gegenüber nicht fair), zum anderen gibt es aber auch Sicherheits-Aspekte, die dagegen sprechen. Denn auch was den Datenschutz anbelangt ist diese Methode umstritten. Bei Nutzung des Hacks werden Apple ID und Passwörter ungeschützt übertragen und können theoretisch von Borodin – der den Server betreibt, über den die Kommunikation umgeleitet wird – eingesehen werden. Borodin bestätigte dies bereits, gab jedoch auch an, keine Daten zu sammeln. Dennoch sollte man, wenn man um seine Daten besorgt ist, diese Methode nicht nutzen.