Abo
  • Services:
Anzeige
Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen.
Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen. (Bild: Apple)

iOS-Einkäufe: In-App-Store arbeitet mit Klartextpasswörtern

Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen.
Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen. (Bild: Apple)

Einem Hacker ist es gelungen, Käufe innerhalb einer iOS-App kostenlos durchzuführen. Dabei fiel ihm auf, dass auf Apples Mobilgeräten die Passwortübertragung im Klartext stattfindet.

Dem russischen Hacker Alexey V. Borodin ist es gelungen, In-App-Käufe kostenlos durchzuführen, wie unter anderem 9to5mac berichtet. Mit einem In-App-Proxy konnte er den iOS-Anwendungen einen Apple-Server vortäuschen, der Käufe bestätigt. Allerdings funktioniert das nicht mit allen Anwendungen. Einige führen zusätzliche Validierungsschritte durch.

Anzeige

Als Nebenprodukt des Hacks wurde allerdings entdeckt, wie Apple mit schutzwürdigen Informationen umgeht. Borodin kann nämlich die Passwörter der Nutzer sehen, wie er Macworld erklärte. Mit ein paar Zertifikaten und einem angepassten DNS-Server konnte er bereits zahlreiche Apple-IDs sowie die dazugehörigen Passwörter sehen.

Apple verlässt sich bei den Sicherheitsmaßnahmen darauf, dass mit einem Apple-Server kommuniziert wird. Offenbar wird deswegen das Passwort nicht verschlüsselt und kann einfach - samt Nutzernamen - mitgelesen werden.

Passwort und Nutzername sind bei Apples iOS-Geräten allerdings extrem wichtig. Wer an diese Kombination kommt, hat bei vielen Nutzern nicht nur Zugriff auf den iTunes-Zugang samt Guthaben, sondern auch auf die iCloud. Damit sind private Fotos und Backups der Geräte zugänglich. Selbst die Ortung der Apple-Nutzer ist möglich, wenn diese ihre Geräte mit der Funktion Find my iPhone verknüpft sind. Ein Transfer von Passwörtern im Klartext dürfte daher nicht passieren.

Apple untersucht das Problem bereits, wie der Konzern verschiedenen Medien mitteilte, ohne allerdings Details zu nennen.

Apple muss damit gleich zwei Schwachstellen beseitigen. Zum einen muss der Einkauf in Apps abgesichert werden. Und zum anderen muss der Umgang mit Passwörtern verändert werden.

Nachtrag vom 15. Juli 2012, 1:00 Uhr

In der ursprünglichen Fassung hieß es im letzten Absatz, dass die Passwörter von jedem gelesen werden können. Korrekt ist aber, dass nur der Betreiber des In-App-Proxys an diese Daten kommen kann, da das Klartextpasswort in einer SSL-Verbindung verschickt wird. Der entsprechende Absatz wurde korrigiert.

Nachtrag vom 16. Juli 2012, 10:00 Uhr

Bei dem Angriff, der eigentlich nur kostenlose In-App-Käufe ermöglichen sollte, handelt es sich um eine Man-in-the-Middle-Attacke, die prinzipiell auch andere hätten ausnutzen können. Der Angreifer versucht dabei, den Nutzer davon zu überzeugen, ein Zertifikat zu installieren und den DNS-Einträge zu manipulieren. Das iOS-Gerät vertraut diesem Zertifikat und dem damit ersetzten Appstore. Borodin ist das eigenen Angaben zufolge bei zahlreichen Nutzern gelungen, indem er ihnen kostenlose In-App-Käufe versprach. Bereits am Samstag sollen so 30.000 betrügerische Käufe registriert worden sein.

Damit gelang es ihm als Nebenprodukt, die eigentlich verschlüsselte Verbindung zu den Apple-Servern auszuhebeln und selbst die Daten zu empfangen. Da die Passwörter in dieser verschlüsselten Verbindung im Klartext übertragen werden, kam er an diese Daten heran. Über einen Social-Engineering-Angriff ist er somit an die Zugangsdaten zahlreicher Nutzer gekommen, obwohl die Verbindung an sich verschlüsselt ist. Der erfolgreiche Angriff benötigte also eine Kombination verschiedener Verfahren.

Borodin versichert auf seiner Webseite, dass er die sichtbaren Daten nicht verwendet und das Loggen von Daten deaktiviert hat. Aus Sicherheitsgründen sollte dennoch niemand die Methode für kostenlose In-App-Käufe verwenden.


eye home zur Startseite
flasher395 29. Jul 2012

Okay, ich reformuliere meine Aussage mal etwas: Dein Verhalten ist Paranoid. Natürlich...

Netspy 16. Jul 2012

Welches Update? Du solltest dir die Nachträge von Golem im Artikel noch mal durchlesen...

Netspy 16. Jul 2012

Das ist grober Unsinn! Security through obscurity gaukelt nur Sicherheit vor, die aber...

vulkman 16. Jul 2012

Das stimmt halt nicht. Es gibt ja eine absolut wasserdichte Methode, wie sich App...

dynaDE 16. Jul 2012

Jein. Es gibt 2 Arten von Verschlüsselung. Zum einen die eigentlich Verbindung zum Server...



Anzeige

Stellenmarkt
  1. Diehl AKO Stiftung & Co. KG, Wangen im Allgäu
  2. Daimler AG, Affalterbach
  3. MED-EL Medical Electronics, Innsbruck (Österreich)
  4. Rems-Murr-Kliniken gGmbH, Winnenden


Anzeige
Blu-ray-Angebote
  1. (u. a. Die große Bud Spencer-Box Blu-ray 16,97€, Club der roten Bänder 1. Staffel Blu-ray 14...
  2. (u. a. Apollo 13, Insidious, Horns, King Kong, E.T. The Untouchables, Der Sternwanderer)
  3. (u. a. John Wick, Leon der Profi, Auf der Flucht, Das Schweigen der Lämmer)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Smartphones

    iOS legt weltweit zu - außer in China und Deutschland

  2. Glasfaser

    Ewe steckt 1 Milliarde Euro in Fiber To The Home

  3. Nanotechnologie

    Mit Nanokristallen im Dunkeln sehen

  4. Angriff auf Verlinkung

    LG Hamburg fordert Prüfpflicht für kommerzielle Webseiten

  5. Managed-Exchange-Dienst

    Telekom-Cloud-Kunde konnte fremde Adressbücher einsehen

  6. Rockstar Games

    Spieleklassiker Bully für Mobile-Geräte erhältlich

  7. Crimson Relive Grafiktreiber

    AMD lässt seine Radeon-Karten chillen und streamen

  8. Layout Engine

    Facebook portiert CSS-Flexbox für native Apps

  9. Creators Update für Windows 10

    Microsoft wird neue Sicherheitsfunktionen bieten

  10. Landgericht Traunstein

    Postfach im Impressum einer Webseite nicht ausreichend



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

Kosmobits im Test: Tausch den Spielecontroller gegen einen Mikrocontroller!
Kosmobits im Test
Tausch den Spielecontroller gegen einen Mikrocontroller!
  1. HiFive 1 Entwicklerboard mit freiem RISC-Prozessor verfügbar
  2. Simatic IoT2020 Siemens stellt linuxfähigen Arduino-Klon vor
  3. Calliope Mini Mikrocontroller-Board für deutsche Schüler angekündigt

  1. Re: Wer warten kann, warten, zumindest bis zum...

    Ach | 04:30

  2. Re: Recovery Mode beim iPhone SE nach Update.

    Orance | 04:25

  3. Re: CPU Entwicklung eh lächerlich...

    kelzinc | 04:13

  4. Re: Dazu dann bitte noch

    Moe479 | 04:12

  5. Dünne Schicht auf einer normalen Brille...

    Vögelchen | 03:36


  1. 18:02

  2. 16:46

  3. 16:39

  4. 16:14

  5. 15:40

  6. 15:04

  7. 15:00

  8. 14:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel