Heute haben wir darüber gesprochen das In-Appstore-System Damit können Sie jetzt In-App-Käufe für Anwendungen hacken Das sage ich dir In den wenigen Stunden seit der Vorstellung des Systems wurden bis heute 30.000 Piratentransaktionen registriert. Im Grunde sprechen wir von einem Zeitraum von über 6 Stunden, in dem iDevice-Besitzer über 30.000 Fake-Transaktionen über das In-App-Kaufsystem von Apple registriert haben, und wenn wir die Transaktionen in Geld umwandeln würden, dann wäre der Betrag sicherlich beträchtlich.
Bis heute wurden mehr als 30,000 In-App-Käufe über Borodins Dienst getätigt, der seiner Aussage nach keine personenbezogenen Daten seiner Nutzer erhebt.
Das System nutzt eine Schwachstelle bei In-App-Käufen aus, um Benutzern diese Funktionalität bereitzustellen, und ein Entwickler behauptet, dass Apple alles lösen kann, indem es das Verschlüsselungssystem der Daten verbessert, die zwischen dem iDevice und den Servern des Unternehmens übertragen werden. Bis dahin denke ich, dass viele Transaktionen registriert werden, solange das System aktiv ist und die Entwickler natürlich viel Geld verlieren werden.
Tatsache ist, dass Apple dieses Problem leicht lösen könnte, indem es Entwicklern eine Methode zur Validierung von IAP-Belegen mithilfe eines sogenannten „gemeinsamen Geheimnisses“ zur Verfügung stellt, d. h. einer sowohl Apple als auch dem Entwickler bekannten Information, die nicht ausgetauscht wird Teil des Validierungsprozesses“, sagt Entwickler Marco Tabini. „In Verbindung mit einer anderen Technik namens „Salting“, bei der jede Kommunikation zeitkritisch digital signiert wird, würde es für jemanden viel schwieriger werden, den IAP-Prozess durch einen Man-in-the-Middle-Angriff zu untergraben.
