Apples App Store und iTunes: Kritische Sicherheitslücke entdeckt

Peinlich !18
Sicherheits-Experten haben eine kritische Sicherheitslücke in iTunes entdeckt
Sicherheits-Experten haben eine kritische Sicherheitslücke in iTunes entdeckt(© 2015 Apple)

In Apples App Store und iTunes klaffte offenbar eine Sicherheitslücke, die es Angreifern ermöglichte, über das Abrechnungssystem schädliche Skripte mit weiteren Anweisungen einzuschleusen. Nach Angaben eines Sicherheitsexperten habe ein Angreifer über dieses Leck eine Browsersitzung übernehmen und Rechnungsdaten manipulieren können. Die Lücke sei aber mittlerweile wieder geschlossen.

Offenbar gibt es einige Datenbank-Einträge im Rechnungs-Formular, die per iTunes oder den App Store erstellt werden, welche das System nicht weiter überprüft, wie der Sicherheits-Experte Benjamin Kunz Mejri des Vulnerability Lab nach einem Bericht von ZDNet festgestellt hat. Hierzu zählt beispielsweise der Wert für den Namen des gekauften Produktes, der einfach mit einem Script ersetzt werden könne.

Schadcode in der iTunes-Rechnung

Ein Hacker könnte sich diese Schwachstelle innerhalb von iTunes zunutze machen und weitere Einträge mit Schadcode belegen. Diese Skripte würde das System dann innerhalb der Rechnung einfach ohne vorherige Prüfung ausführen. Über diesen Schadcode lassen sich laut Sicherheits-Spezialisten Meijri beispielsweise Phishing-Angriffe starten, Browser-Umleitungen programmieren oder sogar die einzelne Shop-Module von iTunes oder dem App Store manipulieren.

Weil Apples Shop-System sowohl für den Käufer als auch den Verkäufer eine Rechnung erstellt, könnten sich Angreifer über diese Sicherheitslücke selbst als Verkäufer in das Formular eintragen. Damit wäre es beispielsweise möglich, sich unter dem Deckmantel eines gefälschten Rechnungs-Dokumentes Apples-Mitarbeitern gegenüber als Entwickler ausgeben, um so weitere Daten abzugreifen.

Wie die Sicherheitslücke genau funktioniert, hat Benjamin Kunz Mejri in einem Video dokumentiert. Nach eigenen Angaben informierte der Sicherheits-Experte Apple bereits am 8. Juni über den kritischen Fehler, woraufhin der iPhone-Hersteller das Leck offenbar gestopft hat. Wie lange der Fehler im App Store und iTunes bestand, ist aber nicht bekannt.


Weitere Artikel zum Thema
Neues iPad und iPad Mini 5 sollen im Früh­jahr 2019 erschei­nen
Sascha Adermann
Die neuen iPads dürften deutlich günstiger werden, als das iPad Pro (Bild)
Die Anzeichen verdichten sich, dass Apple schon bald zwei neue iPads auf den Markt bringt: ein iPad Mini 5 und ein günstigeres 10-Zoll-iPad.
iPhone Xs und Co.: So viel Power steckt in der neuen Akkuhülle von Apple
Lars Wertgen
Das iPhone Xs wird durch das Smart Battery Case mit zusätzlicher Power versorgt
Offiziell sagt Apple bislang nicht, was in den den Schutzhüllen mit integriertem Akku steckt. Ein Nutzer des iPhone Xs verrät es.
Netflix, Spotify & Co: Digi­tale Abos teilen und sparen - darf man das? 
Arne Schätzle
Entspannt Netflix oder Spotify teilen  und Geld sparen - klappt das wirklich?
Viele Audio- und Video-Streamingdienste, aber auch Games, Apps und Bücher lassen sich mit mehreren Nutzern teilen - aber ist das auch immer erlaubt?

Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Durch die weitere Nutzung der Website stimmen Sie dem zu. Um mehr über die von uns verwendeten Cookies zu erfahren und wie man sie deaktiviert, können Sie unsere Cookie-Richtlinie aufrufen.