Warnung an Entwickler: Russischer Hack ermöglicht es, In-App-Einkäufe nicht zu bezahlen

[Niklas Marxen]

Liebe Entwickler für den App Store, seid gewarnt: Wie der russische Blog i-ekb.ru berichtet, ist es einem russischen Entwickler gelungen, eine einfache Methode zu entwickeln, die es ermöglicht, In-App-Einkäufe zu tätigen, ohne einen Cent dafür zu bezahlen. In nur drei einfachen Schritten, die hier schon aus Legalitätsgründen nicht beschrieben werden, kann der Nutzer eines jeden iDevice mit App Store-Anschluss statt dem Fenster, in dem man normalerweise sein Passwort für die Apple ID eingibt, ein Fenster erscheinen lassen, in dem in-appstore.com geliked werden kann. Damit gilt der Einkauf für das Programm als getätigt, ohne dass der Nutzer einen Cent an den Entwickler abgegeben wird. Der Entwickler des Hacks erhält bei der Anwendung desselbigen zahlreiche Informationen über den Nutzer, unter anderem erfährt er die Sprach- und Landeseinstellungen des Geräts. Entwickler, die ihre Apps gegen den digitalen Betrug absichern wollen, sollen eine Funktion nutzen, die Apple anbietet. Die eigene App sollte darauf eingestellt werden, dass digitale Rechnungen validiert werden.
[PRBREAK][/PRBREAK]
[video=youtube;iSuo4xEucqE]http://www.youtube.com/watch?v=iSuo4xEucqE&feature=player_embedded[/video]

 

[SteffiAT]

„Der Entwickler des Hacks erhält bei der Anwendung desselbigen zahlreiche Informationen über den Nutzer“

-> Ich warte auf die ersten „HILFE!!1 Meine AppleID wurde gehackt“-Threads...


Wenn die App gut ist, dann kauft euch die Zusatzfeatures, die man per In-Appkauf erhalten kann einfach und unterstützt so den Entwickler, andernfalls kann man's gleich lassen – oder?!

 

[julesdarules]

Wenns euch um die Entwickler gegangen wäre hättet ihr auch ne Mail an Apple schreiben können, so werdens bestimmt nen paar geizkragen machen.

 

[RedCloud]

OTMeHNTb ?

Klar, da klicke ich doch gleich mal drauf!

 

[crazy cat]

Entwickler wie "Storm8" haben auch nichts anderes verdient. Spiele werden nicht zu selten künstlich geschnitten, um dann die "mobileDLCs" besser verkaufen zu können. Auf Konsolen regen sich alle drüber auf, aber beim iPhone ist das ok....

 

[fyysh]

Klassischer MITM!
Sehr geil! Die haben's drauf!
Wüsste gerne wieviele Apple-IDs die schon gesammelt haben... :-D

 

[Ragnir]

Also für den Traffic-IAP von Navigon fände ich es fast ok – was nicht funktioniert, sollte man auch nicht bezahlen müssen.

Davon ab wäre mir ein Hack lieber, mit dem man so einen Mist ausblenden kann à la „Vorsicht, Stunts nicht nachmachen“ oder „Achten Sie beim Fahren auf die Straße“, das wäre mal was.

 

[robin_]

Oder bei den berüchtigen i am rich apps... also die Inapps... nur Doof, dass man dafür erstmal die Tausend Euro teuren Apps haben muss

 

[cascade]

Sowas gibt es leider schon (sehr) lange für jailbroken Geräte. Funktioniert aber eben nur, wenn der Entwickler bei den In-App-Käufen keine Server-Abfrage einrichtet, sondern der App "vertraut". Früher ging das bei so ziemlich allen In-App-Käufen (war ja vor allem bei den Navigon-Apps sehr beliebt), heute verlangen diese Apps zum Glück überwiegend eine Verbindung zum Server zum Laden der Features, was den "Hack", der einfach die Verbindung zum AppStore vorgaukelt und so bereits in der App enthaltene In-App-Käufe nur aktiviert, wirkungslos macht.

 

[computerschreck]

Das geht mit einem Jailbreak und den richtigen Quellen in Cydia schon seit Monaten.. ohne Daten preiszugeben

 

[robin_]

Die Leute, die Apps Cracken, die ipa-Dateien entschlüsseln, die können die paar Abfragen auch aushebeln...

Wenn man es will, geht es. Nix ist sicher.

 

[Greenie77]

Tja irgendwann triffts jeden. Auch Apple. Nix ist für immer sicher. :-D
Es gibt nichts was irgendwann nicht geknackt wird. Absolut nichts.
Nur hilft es dann auch nicht iOS noch mehr zu verrammeln. Dann wird es noch interessanter. Ist irgendwie ein Teufelskreis.

 

[MacHoliday]

Tja irgendwann triffts jeden. Auch Apple. Nix ist für immer sicher. :-D
Es gibt nichts was irgendwann nicht geknackt wird. Absolut nichts.
Nur hilft es dann auch nicht iOS noch mehr zu verrammeln. Dann wird es noch interessanter. Ist irgendwie ein Teufelskreis.

Dumm ist nur, das dieser Hack allenfalls nur Programmierer betrifft die nicht vorgesorgt haben.

Nice try!

 

[ASolution]

Entwickler wie "Storm8" haben auch nichts anderes verdient. Spiele werden nicht zu selten künstlich geschnitten, um dann die "mobileDLCs" besser verkaufen zu können. Auf Konsolen regen sich alle drüber auf, aber beim iPhone ist das ok....

Tja der Preis machts! ein Iphone Titel kostet nur einen Bruchteil von Kosolen spielen. Wenn ich 60€ für nen Playsi Titel ausgebe würd mich das auch aufregen wenn ich nochmal 20€ für den DLC berappen müsste nur um zu erfahren wie die Story weiter geht-.-

Aber Iphone Spiele sind so schön weit unter der Schmerzgrenze wo so ein DLC schon noch weiter Spass macht.

 

[un1que]

Tja der Preis machts! ein Iphone Titel kostet nur einen Bruchteil von Kosolen spielen. Wenn ich 60€ für nen Playsi Titel ausgebe würd mich das auch aufregen wenn ich nochmal 20€ für den DLC berappen müsste nur um zu erfahren wie die Story weiter geht-.-

Aber Iphone Spiele sind so schön weit unter der Schmerzgrenze wo so ein DLC schon noch weiter Spass macht.

Also ich glaube, gemeint waren solche Spiele, die nur auf die In-App Käufe ausgerichtet sind. Diese sind bereits so konzipiert, dass man ohne die weiteren Echtgeldinvestitionen nicht bzw. nur sehr sehr schleppend (sodass es überhaupt keinen Spaß mehr macht) weiterkommt. Sprich es ist nicht so, dass man für weitere 0,79€ oder 1,59€ eine weitere Storylinie zu spielen bekommt, es geht vielmehr um Geld- oder sonstige Diamanten-, Münzen-, usw. Einkäufe, die eben mal für 10, 20, 30, ..., 80, 90, ..., 150, 160€ (evtl. sogar noch teurer) zu haben sind.

Das Schlimme dabei ist, dass einige Entwickler, wie bspw. Storm8 (von crazy cat bereits erwähnt), einfach mal so ca. 10 Spiele anbieten, welche 1:1 gleich aufgebaut sind, sich aber einfach nur in den Namen, Spielgegenständen und Grafiken unterscheiden

 

[Scheich]

Das rechtfertigt trotzdem nicht das Erschleichen von Inhalten.

Wenn einem das Kosten-/Leistungsmodell eines Programms nicht gefällt, nutzt man es halt nicht. Punkt.

Ich hoffe wirklich allen, die diesen Exploit nutzen, wird das Konto leer geräumt.

 

[un1que]

Das rechtfertigt trotzdem nicht das Erschleichen von Inhalten.

Das habe ich auch nicht behauptet, wollte es nur mal deutlicher erklärt haben.

Wenn einem das Kosten-/Leistungsmodell eines Programms nicht gefällt, nutzt man es halt nicht. Punkt.

Oder man nutzt sie halt nach diesem Prinzip Manche lassen sich deswegen ihr iGerät jailbreaken, die anderen haben jetzt auch eine Möglichkeit bekommen zu bescheißen.

Ich hoffe wirklich allen, die diesen Exploit nutzen, wird das Konto leer geräumt.

Seit den nächsten News auf der Entwicklerseite, scheint es noch sicherer gegen das Ausspannen von iTunes Konten zu sein? Aber werden wir ja bald sehen.

Vielmehr interessiert mich, wie Apple nun reagieren wird. Dieser Hack zeigt ja, dass das iOS doch nicht so sicher ist (in dem Fall für die Entwickler), wie man es auf nicht gejailbreakten Geräten zu erwarten hat.

 

[BerndderHeld]

Als Entwickler kann Ich sowieso nicht nachvollziehen das Apple die zweite Überprüfung des Kaufes, die auch dieser Hack nicht übersteht, optional gemacht hat. Das muß einfach mit umgesetzt werden. Dann ist es mit den Betrugsmöglichkeiten auch nicht so weit her.

 

[SilentCry]

Der heise-Artikel ist etwas genauer.

Und vielleicht sollte man folgendes betonen: Dieser "Hack" ist keine Sicherheitslücke für uns Kunden. Dieser "Hack" muss VOM Kunden aktiv durchgeführt werden mit der verwerflichen Absicht, in anderen Apps gratis einzukaufen.
Dass bei diesem kriminellen Vorgehen die Kriminellen, die einem dieses Vorgehen ermöglichen, vielleicht Daten abgreifen ... nun, wie geht der Spruch: Wenn man am Morgen nicht neben einer Hure aufwachen will darf man sich am Abend nicht neben einer schlafen legen.

Es ist kein Hack, der die Sicherheit von Anwendern bedroht, die sich normal und ohne kriminelle Absicht verhalten! Es ist KEINE SICHERHEITSLÜCKE gegen iOS-Anwender.

 

[MBSoft]

Da juckt es einem doch in den Fingern, selbst mal so einen ähnlichen Service anzubieten.....Motto: Wer mir seine Kreditkartennummer inkl. Code etc. mailt, der kann täglich € 5,- abgreifen. Ich nutze die Daten auch "garantiert" nicht für andere Zwecke, ehrlich.....