Anzeige:
vodafone.de
° Impressum
headerrechts
naviverlauf NEWS DSL BREITBAND VOIP COMPUTER FORUM headerrechts
zeileobengruen
pfeil DSL
DSL Aktionen
DSL Ausfall
DSL Flatrate
DSL Tarife
DSL Verfügbarkeit
DSL Vergleich
Tarifrechner
pfeil Internet
Internet Provider
Internetanbieter
pfeil DSL Speedtest
DSL Geschwindigkeit
pfeil Internetzugang
ADSL
DSL via Satellit
Mobiles Internet
VDSL
pfeil WLAN
WLAN Router
Kabel und
    DSL Anbieter
1und1
Alice
congstar
Kabel BW
Kabel Deutschland
o2
Tele Columbus
Telekom
Unitymedia
Vodafone
plusserver
Montag, 16.07.2012 13:16

Apple: Bug bei In-App-Käufen wird untersucht

aus dem Bereich Mobilfunk

Apple untersucht derzeit eine gravierende Schwachstelle in seinem Bezahlsystem für In-App-Käufe, über die sich kostenpflichtige Extras ohne Zahlung des eigentlichen Kaufpreises beziehen lassen. Bereits Ende letzter Woche hatte der russische Entwickler Alexey V. Borodin das Schlupfloch entdeckt und seine Vorgehensweise über die Website in-appstore.com öffentlich publiziert.

Bug bereits tausendfach ausgenutzt

Innerhalb weniger Stunden nach Bekanntwerden wurde der Bug bereits tausendfach ausgenutzt. Laut Borodins Schritt-für-Schritt-Anleitung ist es dabei nicht notwendig, Veränderungen an der Geräte-Software vorzunehmen oder bestehende Sicherheitsvorkehrungen durch Manipulationen zu überwinden. Lediglich zwei Sicherheitszertifikate müssen installiert werden. Anschließend wird der gesamte Transaktionsprozess beim Start des Zahlungsvorgangs unterbrochen und im Rahmen eines sogenannten Man-in-the-Middle-Angriffs umgeleitet.

Während In-App-Käufe über iTunes regulär erst dann als abgeschlossen gelten, wenn die Belastung des Nutzer-Kontos mit der Zahlungssumme durch einen Apple-Server quittiert wurde, lässt Borodin die benötigte Kaufbestätigung in diesem Fall über eigene Server ausstellen. Dem Apple-Server wird in der Folge vorgegaukelt, der Nutzer habe den Kauf abgebrochen; die App wiederum erhält das Signal, dass der ausgewählte Inhalt freigeschaltet werden kann.

Schwachstelle bislang offenbar nicht behoben

Apple hat bislang offenbar noch keinen Weg gefunden, das Täuschungsmanöver zu unterbinden. Eine erste Maßnahme zur Absicherung des Zahlungverfahrens bezeichnete Borodin gegenüber dem US-Blog "The Next Web" als wirkungslos und bot dem Konzern seine Hilfe bei der Lösung des Problems an. Zudem teilte der russische Programmierer mit, er habe die Kontrolle über in-appstore.com kurz nach der Veröffentlichung an nicht genannte Dritte abgegeben, "um nicht im Gefängnis zu landen".

Apple reagierte offiziell bislang lediglich mit einer allgemein gehaltenen Stellungnahme. Man nehme die Betrugsaktivitäten sehr ernst und sei dabei, die Angelegenheit zu untersuchen, hieß es am Freitag gegenüber dem US-Blog "The Loop". Für die Entwickler von iOS-Apps ist es die zweite Hiobsbotschaft innerhalb weniger Tage. Erst kürzlich hatte eine Panne auf den Apple-Servern zu zahlreichen App-Abstürzen und Fehlfunktionen geführt.

red
Weitere Meldungen zum Thema:
Infoseiten zum Thema:
 Suche
 Letzte Meldungen
Dienstag, 21.05.2013
Erstmals vorgestellt: Microsoft zeigt die neue Xbox One
Google Checkout wird am 20. November eingestellt
Browser-Barometer: Chrome drängt in Europa an die Spitze
90elf wird eingestellt
Samsung packt 3.200 x 1.800 Pixel auf ein 13,3-Zoll-Display
United Internet: Kräftiges Kundenplus dank DSL und mobilem Internet
Flickr-Relaunch: Neue Oberfläche und 1 TB Gratis-Speicher
Dramatischer Kundenschwund bei Vodafone
Montag, 20.05.2013
eBay: In Rheinland-Pfalz wird eher mobil gekauft
Buffalo "LinkStation 400": Bis zu 8 TB Netzwerkspeicher für das Heimnetzwerk
Headset von Creative im Test: Kann das Sound Blaster Tactic3D Rage Wireless überzeugen?
Sonntag, 19.05.2013
SkyDrive: Timeline-Ansicht für Fotos und schnellerer Upload
Display-News der Woche: Neue Monitore von Aoc, Asus und Philips
Samsung lockt mit kostenlosem Galaxy Tab - bei Kauf eines Ultrabooks oder All-in-Ones
Samstag, 18.05.2013
AVM: Neue Laborversion für die Fritz!Box 7390
Weitere News
 
Datenschutz