Artikel Video: In-App-Proxy – Russische Hacker umgehen Apples In-App-Kauf
Facebook
Twitter
Kommentieren (60)

Video: In-App-Proxy – Russische Hacker umgehen Apples In-App-Kauf

60 Kommentare

Mit Hilfe eines zwischengeschalteten Servers und zwei speziell vorbereiteten iPhone-Zertifikaten haben russische Hacker die Sicherheitsabfragen des App Stores umgangen und bieten den “kostenlosen Kauf” beliebiger In-App Angebote an.

Das Schwarzmarktangebot läuft Jailbreak-unabhängig, ist kompatibel zu allen noch aktiven iOS-Versionen und fährt einen Man-in-the-Middle Angriff gegen Apples Bezahl-System. So sorgen die auf dem iPhone installierten Zertifikate für eine Änderung der iPhone DNS-Einstellungen und fangen die Transaktions-Kommunikation mit dem App Store ab – modifizierte HTTP-Header gaukeln dem persönlichen Gerät anschließend den erfolgreichen In-App-Kauf vor.

Während des “Einkaufs” überträgt das iPhone seine Geräte-ID, die ID der gewählten Applikation, die Informationen zum In-App-Kauf und eine Handvoll Meta-Daten wie Sprache und Versionsnummer an den russischen Server in-appstore.com – dieser bestätigt beim Gerät anschließend den Einkauf.


(Direkt-Link)

Apple selbst hat sich zum Angriff auf den, für viele Entwickler überlebenswichtigen Transaktions-Service noch nicht geäußert, dürfte aber bereits an einer Lösung des offensichtlichen Problems arbeiten. via 9to5mac

Diskussion 60 Kommentare.
Dieser Unterhaltung fehlt Deine Stimme.
      • Wohl zu viele James-Bond-Filme gesehen. Da sind die Russen immer die Bösen. Und Bösere als Russen gibt’s ja nicht… Einfach mal über Deinen Tellerrand sehen.

        — iJens
      • Manche Apps sind ja ohne In-App-Kauf garnichtmehr nutzbar und gerade für Spiele wo man gezwungen ist 80€ auszugeben um es überhaupt weiterspielen zu können sehe ich es nicht als asozial an…
        Es gibt doch kaum noch gerade Spiele ohne “eine handvoll/LKW-Ladung/Bündel irgendeinen Schrott wie Geld/Gold/Coins oder was auch immer kaufen zu müssen, teilweise nachdem man ein Spiel gekauft hat und per Update werden diese Abzock-Käufe integriert

        — komacrew
      • Komische Moralvorstellungen hast du – auf die Idee solche Software nicht zu nutzen bist du noch nicht gekommen ?!

        — Vertex
      • sehe ich auch so wie Vertex… ein Maserati ist ein geiles Auto, aber ich klaue ihn ja nicht, weil ich keine €90K hab, um ihn zukaufen oder? wenn ich es mir nicht leisten kann, dann lass ich es eben.

        — Mat
      • @komacrew:
        Dieses Verhalten ist bescheuert.
        1. Solche “Spiele” machen bald keinen Spaß mehr, weil es sie wegen dir z.B. nicht mehr geben kann. Kein Mensch kann nur durch Luft lange leben.
        2. Wenn es wegen den InApp-Käufen nicht spielbar ist, dann nutzt man halt nicht das Spiel. Entweder erfährt der Programmierer indirekt, dass er nicht mehr so weiter machen kann, oder viele Leute wie du melden sich bei ihm, dass das Spiel durch die Käufe unspielbar ist.

        Aber nur weil die InApp-Käufe zu teuer sind, das Ganze dann zu klauen, ist ein idiotischer Gedankengang.

        — Tobias
      • @Vertex, Mat, Tobias: guckt mal ein Stück weiter unten. Ich kaufe KEIN EINZIGES App mit In-App-Kauf wie ich weiter unten beschrieben habe, aber man nehme TVMovie. 5€ für die iPhone App bezahlt, 10€ für die HD App fürs iPad bezahlt und dann kommt per Update ein in-App-Kauf einer Flatrate für die Inhalte die man vorher eigentlich schon bezahlt hatte. Ohne kaum nutzbar und einfach unverschämt. Für sowas kann ich definitiv nachvollziehen wenn es Leute gibt die dann so eine Aktion wie diese gutheißen. Nicht mehr und nicht weniger.
        Der Vergleich mit den Maserati hinkt, da nach 5.000km nicht eine Anzeige kommt: entweder sie zahlen absofort monatlich Betrag x, oder ihr Auto bleibt nach 10km stehen und funktioniert erst am nächsten Tag wieder…
        Und ich HOFFE das solche Apps und Spiele aussterben werden bzw. solche Vorgehensweisen da es schon vorab keinen Spass macht sich ködern und verarschen zu lassen. Guck mal auf das Spiel CSR. Durchschnittliche Bewertung bei 4-5 Sterne aber alle aktuellen Bewertungen zeigen 1 Stern. Reaktion gibt es vom Entwickler auch nicht wie zahlreiche Reviews zeigen und ohne eine Erste Zahlung benötigt man über 13 Jahre um das Spiel durchzuspielen und muss jeden Tag mehrfach das gleiche stupide Level spielen um sich die in-Game-Währung zusammen zu spielen die andere kaufen. Wo ist da ein Spielspass erkennbar?

        — komacrew
      • Ihr seid doch selber Schuld wenn ihr solche Spiele kauft, Gameloft, EA, & Co.??? kaufe ich nicht mehr. Fremium ebenfalls nicht. Ihr als Konsument seit doch in der Pflicht zu agieren.

        Und übrigens, ich verdiene mein Täglich-Brot (ich verdiene gut) durch vollbrachte arbeit, und Leute die sich solchen Hacks (siehe auch: Installaous) bedienen, gehören Fristlos entlassen und des Landes verwiesen… nur weils Software ist Diebstahl noch kein Kavaliersdelikt.

        — Thomas
      • Was für eine strunzedumme Aussage ist denn das mit der fristlosen Entlassung und Verbannung aus Deutschland? Oo

        — ihache
      • Ja das find ich auch Mies das kannst du aber umgehen Jb. Sollst schon haben was viel schlimmer ist die Sicherheit von Apple ist echt Schrott

        — Martin
      • Hey, nicht beleidigend werden. Nur weil man den Gegenüber nicht persönlich kennt, muss man nicht gleich pampig werden. Ich denke, er meinte den Fragesteller über uns. Und recht hat er. Punkt.

        Robifon
    • Das es nicht legal ist wird wohl viele bei der Raupkopierquote nicht abschrecken aber Leute denkt daran, dass ihr eure Daten an irgendeinen russischen Server schickt! Ist euch das die paar Cent wirklich wert?

      — O_o
  1. Empfinde ich immernoch unnötig da ich kein App mit In-App-Kauf erst kaufe/lade. Ist für mich ein absolutes No-Go genauso wie iPhone Apps auf dem iPad skaliert anzuzeigen.

    — komacrew
    • Ach manchmal sind In App-Käufe sogar sehr gut. Z.B. bei Jamie Olivers Rezepte-App, da kann ich die Rezepte kaufen, die ich auch wirklich will und muss nicht das ganze Paket nehmen. Also kein Grund zur Verteufelung.

      dynAdZ
      • Das ist aber eher eine Ausnahme. Die meisten In-App-Käufe sind zeitlich beschränkte Zwangsabgaben um irgendeine Beschränkung oder Werbung aufzuheben oder aber in-Game-Währung.

        — komacrew
    • Nur mit der Grammatik hat es das >>>V<<<olk nicht so sehr drauf ^:) Aber naja, egal ob rolex oder relix :) beides zeigt die Zeit an

      — Funky
    • Oder doch Folk Rock ???
      Von welchem ” Folgg” stammst du denn ?
      Herr, lass Hirn regnen …..und einen Duden !

      — Blue
      • Ui ich hoffe ihr serbelt mir jetzt dann nicht alle an einer überdosis Moralin ab. Apropos Games, früher nannte man es cheaten, heute wollen sie für ein “goodmode” 40$ und mehr!?! Das sind keine geschundenen Programmierer, das nennt sich Wucher!!

        — Sturmkater
  2. Was ihr da alles hinein interpretiert? Die Macher da tun es, weil sie es können! Der Rest ist Spielerei.

    — Sunny
  3. Kommentar von der englischen Originalquelle: Apple bietet schon länger eine spezielle Art der Verifizierung von In-App Käufen für Entwickler an – nur wer die nicht nutzt, ist betroffen.

    “Update: Commenters have noted that Apple does provide a method for developers to validate receipts for in-app purchases. This is likely why the hack described above does not work with some apps and is something all devs implementing IAP should be taking advantage of.”

    — Peter
  4. Die Nutzung ist illegal und durch die übertragene Geräte-ID ist man doch erkennbar (denke ich). Also besser Finger von weg lassen.

    — Karl
  5. das beste ist ja: server ist down due to high load. pls donate to get a dedicated server :)

    paar stunden später gibts ne neue ip, weil es wohl genug donations gab :D das ist geil :)

    — keKs
  6. Mal ganz ohne Frage ob legal oder nicht, asozial oder nicht – ich bin mir sicher die ‘Hacker’ welcher Herkunft auch immer freuen sich ein Loch in den Bauch über jeden ‘Kunden’ der das sooo günstige Angebot wahrnimmt. Vermutlich beschäftigen sich auch bereits unzählige weitere Programmierer mit der Frage wie man die ausgespähten Handydaten der vertrauensseligen und höchst sicherheitsorientierten Nutzung verwenden – äähh nein – schützen kann.

    Ich bin zunehmend erschrocken darüber wie wenig ‘smart’ doch so viele Smartphone-User sind. Welcher azerbaidschanische Lastesel muss jene geritten haben die eine derartige Lösung zu nutzen in Erwägung ziehen???

    mit ein bißchen Glück kann der clevere Proxy mir vielleicht auch noch ein paar andere, lästige Dinge abnehmen, wie beispielsweise meine Mails, SMS oder WhatsApp-Nachrichten beantworten und am besten auch gleich noch mein InternetBankimg bedienen? Dann kann ich mich selbst zurücklehnen und muss mich selbst nicht mehr kümmern!!

    Wieder ein paar tausend neue Fälle für die Statistik der beständig steigenden CyberCrime-Quote :)))

    — Mamich
    • Mal ganz ohne Frage ob legal oder nicht, asozial oder nicht – ich bin mir sicher die ‘Hacker’ welcher Herkunft auch immer freuen sich ein Loch in den Bauch über jeden ‘Kunden’ der das sooo günstige Angebot wahrnimmt. Vermutlich beschäftigen sich auch bereits unzählige weitere Programmierer mit der Frage wie man die ausgespähten Handydaten der vertrauensseligen und höchst sicherheitsorientierten Nutzung verwenden – äähh nein – schützen kann.

      Ich bin zunehmend erschrocken darüber wie wenig ‘smart’ doch so viele Smartphone-User sind. Welcher azerbaidschanische Lastesel muss jene geritten haben die eine derartige Lösung zu nutzen in Erwägung ziehen???

      “…..überträgt das iPhone seine Geräte-ID, die ID der gewählten Applikation, die Informationen zum In-App- Kauf und eine Handvoll Meta-Daten wie Sprache und Versionsnummer an den….” mit ein bißchen Glück kann der clevere Proxy mir vielleicht auch noch ein paar andere, lästige Dinge abnehmen, wie beispielsweise meine Mails, SMS oder WhatsApp-Nachrichten beantworten und am besten auch gleich noch mein InternetBankimg bedienen? Dann kann ich mich selbst zurücklehnen und muss mich selbst nicht mehr kümmern!!

      Wieder ein paar tausend neue Fälle für die Statistik der beständig steigenden CyberCrime-Quote :)))

      — Mamich
  7. Warum ist das jetzt so neu?
    Ich kann mich daran entsinnen, dass es sowas als lokale Art schon im Cydia gab/gibt.. Nannte sich iAp Cracker.

    Kann jedoch nur davon abraten, weil es 1. (und das ist das wichtigste!) die Motivation immens raubt, und 2. Server authentifizierte Käufe (also jene die mit dem Spiel, NICHT dem AppStore verbunden sind) nicht funktionieren.

    Dann doch lieber legal erwerben.

    — Michael
  8. Ja wir Russen sind mal wieder die bösen..!!!
    Ich würde aber aus Prinzip keinen links von Hackerseiten trauen .. Egal aus welchem Land..!!!
    Aber wollen wir mal erlich sein… wenn die Russen was können dann PCs Hacken…;))..!!

    — Eddy
    • @Eddy. …und bei solch ausgepeägtem Selbstbewustsein wundert sich noch jemand, dass Russen nicht getraut wird. Wenn die Überzeugung von den eigenen kriminellen Fähigkeiten größer zu sein scheint als die eigene Ehrlichkeit, dann braucht sich kein Russe über seine zweifelhafte Anerkenntnis im Volk wundern. Und zurück zum eigentlichen Thema ….

      — knopex
  9. Zum Glück kann man einige zeit in App. Käufen auch ganz legal umgehen vor allem bei gameloft. Einfach die zeit im Handy vorstellen und schôn braucht man nicht mehr zu warten (ICE Age , man in Black USW). Würde niemals für Nüsse oder Gold oder sonstiger in APL Währung 79€ ausgeben. Soviel kostet ja nichtmal ein hochwertiges voll Spiel für die PlayStation oder pic.

    — Thomasm
      • Nein, es ist ken Diebstahl, war es nie und wird es nie sein. Diebstahl ist die Wegnahme einer beweglichen Sache, du hast sie jetzt und der vorherige Besitzer hat sie nicht mehr, das trifft hier nicht zu.
        Ja es ist illegal, ja es erfüllt einen Straftatbestand, aber es ist und bleibt nun mal kein Diebstahl.

        — scuba
  10. Der Hack geht auch nur indem man iTunes User und Pwd korrekt angibt… Viel Spaß mit dem Account danach ;)

    — Eli

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Der iPhone-Ticker ist Deutschlands führendes Online-Magazin rund um das iPhone. Seit 2007 informieren wir täglich
über das Apple-Telefon und damit in Verbindung stehende Soft- und Hardwareprodukte.
Insgesamt haben wir 14624 Artikel in den vergangenen 2667 Tagen veröffentlicht. Und es werden täglich mehr.


ifun - Love it or leave it   ·   Copyright © 2014 aketo GmbH - Alle Rechte vorbehalten   ·   Impressum   ·   Auf dieser Seite werben   ·   RSS