Russischer Hacker hebelt In-App-Käufe aus

Eine Vielzahl von Programmen in Apples App Store lassen sich mit sogenannten In-App-Käufen schnell und bequem erweitern, sei es um zusätzliche, Inhalte, Funktionen oder einen „Sack mit 1000 Goldmünzen“. Einem russischen Hacker scheint dieses Praxis so ein Dorn im Auge gewesen zu sein, dass dieser kurzerhand einen Hack entwickelte, um sämtliche In-App-Käufe kostenlos zu erhalten.

Der Hack, der anders als sonst keinen Jailbreak voraussetzt, besteht aus drei einfachen Schritten. Während in den ersten beiden Schritten zwei Zertifikate auf dem iPhone installiert werden, muss im letzten Schritt der DNS-Server manuell geändert werden. Im Anschluss taucht nicht mehr Apples Frage nach Bestätigung auf, sondern eine Nachricht von in-appstore.com, der Webseite des russischen Entwicklers „ZonD80“.

Während der Hack bei einer Vielzahl von Apps funktioniert, sind einige App gegen den Betrugsversuch gefeit. Sofern Entwickler das sogenannte transactionReceipt verwenden, wird der In-App-Kauf mit dem App Store abgeglichen, um Betrugsversuche zu vermeiden. Allerdings scheint diese Funktion nur von einer Handvoll Entwickler verwendet zu werden.

Die Verwendung des Hacks stellt allerdings nicht nur eine Gefahr für die Entwickler und vor allem deren Einnahmequellen dar, sondern auch für Anwender des Hacks. Während laut 9to5mac.com „lediglich“ harmlose Daten wie die ID der App sowie deren Versionsnummer oder die Sprache des iPhones übermittelt werden, kann nicht ausgeschlossen werden, dass auch andere Daten wie Apple-ID oder das dazugehörige Passwort mitgesendet werden.

Lait i-ekb.ru [Google Übersetzung] hat Apple bereits Beschwerde bei dem Webhoster des Hackers eingelegt.