Geknackte In-App-Käufe: So schützen sich Entwickler

Ein weiterer Nachtrag zu dem Ende letzter Wochen bekannt gewordenem Angriff aus Apples In-App-Transaktionen, über den sich Abos und zusätzliche App-Inhalte „einkaufen“ und freischalten lassen. Der hier im Video demonstrierte Hack, mit dem sich die Inhalte über einen Angriff auf den vom iPhone verschickten Netzwerkverkehr „kostenlos“ ordern ließen, wird inzwischen von Apple untersucht – das Demo-Video ist bereits aus der Youtube-Auslage entfernt worden – und sollte in den kommenden Tagen endgültig auf Eis gelegt werden. Sowohl die Paypal-Accounts der russischen Hacker wurden inzwischen auf Eis gelegt, als auch die Server, die für den Angriff auf die Datenpakete eingesetzt wurden.

Entwickler können sich gegen die vorgetäuschten Transaktionen mit einer Validierung der App Store-Quittungen schützen. In Apples Entwickler-Portal unter der Überschrift „Verifying Store Receipts“ erklärt, hätte der Angriff eigentlich ergebnislos verpuffen sollen, hätten alle iOS-Entwickler die hier beschriebenen Schutzmaßnahmen getroffen.

Your application should perform the additional step of verifying that the receipt you received from Store Kit came from Apple. This is particularly important when your application relies on a separate server to provide subscriptions, services, or downloadable content.

Passende Code-Schnipsel zur Integration des Transaktions-Checks lassen auf dieser Github-Seite einsehen und in die persönlichen App-Projekte importieren.