Anzeige
Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen.
Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen. (Bild: Apple)

iOS-Einkäufe In-App-Store arbeitet mit Klartextpasswörtern

Einem Hacker ist es gelungen, Käufe innerhalb einer iOS-App kostenlos durchzuführen. Dabei fiel ihm auf, dass auf Apples Mobilgeräten die Passwortübertragung im Klartext stattfindet.

Anzeige

Dem russischen Hacker Alexey V. Borodin ist es gelungen, In-App-Käufe kostenlos durchzuführen, wie unter anderem 9to5mac berichtet. Mit einem In-App-Proxy konnte er den iOS-Anwendungen einen Apple-Server vortäuschen, der Käufe bestätigt. Allerdings funktioniert das nicht mit allen Anwendungen. Einige führen zusätzliche Validierungsschritte durch.

Als Nebenprodukt des Hacks wurde allerdings entdeckt, wie Apple mit schutzwürdigen Informationen umgeht. Borodin kann nämlich die Passwörter der Nutzer sehen, wie er Macworld erklärte. Mit ein paar Zertifikaten und einem angepassten DNS-Server konnte er bereits zahlreiche Apple-IDs sowie die dazugehörigen Passwörter sehen.

Apple verlässt sich bei den Sicherheitsmaßnahmen darauf, dass mit einem Apple-Server kommuniziert wird. Offenbar wird deswegen das Passwort nicht verschlüsselt und kann einfach - samt Nutzernamen - mitgelesen werden.

Passwort und Nutzername sind bei Apples iOS-Geräten allerdings extrem wichtig. Wer an diese Kombination kommt, hat bei vielen Nutzern nicht nur Zugriff auf den iTunes-Zugang samt Guthaben, sondern auch auf die iCloud. Damit sind private Fotos und Backups der Geräte zugänglich. Selbst die Ortung der Apple-Nutzer ist möglich, wenn diese ihre Geräte mit der Funktion Find my iPhone verknüpft sind. Ein Transfer von Passwörtern im Klartext dürfte daher nicht passieren.

Apple untersucht das Problem bereits, wie der Konzern verschiedenen Medien mitteilte, ohne allerdings Details zu nennen.

Apple muss damit gleich zwei Schwachstellen beseitigen. Zum einen muss der Einkauf in Apps abgesichert werden. Und zum anderen muss der Umgang mit Passwörtern verändert werden.

Nachtrag vom 15. Juli 2012, 1:00 Uhr

In der ursprünglichen Fassung hieß es im letzten Absatz, dass die Passwörter von jedem gelesen werden können. Korrekt ist aber, dass nur der Betreiber des In-App-Proxys an diese Daten kommen kann, da das Klartextpasswort in einer SSL-Verbindung verschickt wird. Der entsprechende Absatz wurde korrigiert.

Nachtrag vom 16. Juli 2012, 10:00 Uhr

Bei dem Angriff, der eigentlich nur kostenlose In-App-Käufe ermöglichen sollte, handelt es sich um eine Man-in-the-Middle-Attacke, die prinzipiell auch andere hätten ausnutzen können. Der Angreifer versucht dabei, den Nutzer davon zu überzeugen, ein Zertifikat zu installieren und den DNS-Einträge zu manipulieren. Das iOS-Gerät vertraut diesem Zertifikat und dem damit ersetzten Appstore. Borodin ist das eigenen Angaben zufolge bei zahlreichen Nutzern gelungen, indem er ihnen kostenlose In-App-Käufe versprach. Bereits am Samstag sollen so 30.000 betrügerische Käufe registriert worden sein.

Damit gelang es ihm als Nebenprodukt, die eigentlich verschlüsselte Verbindung zu den Apple-Servern auszuhebeln und selbst die Daten zu empfangen. Da die Passwörter in dieser verschlüsselten Verbindung im Klartext übertragen werden, kam er an diese Daten heran. Über einen Social-Engineering-Angriff ist er somit an die Zugangsdaten zahlreicher Nutzer gekommen, obwohl die Verbindung an sich verschlüsselt ist. Der erfolgreiche Angriff benötigte also eine Kombination verschiedener Verfahren.

Borodin versichert auf seiner Webseite, dass er die sichtbaren Daten nicht verwendet und das Loggen von Daten deaktiviert hat. Aus Sicherheitsgründen sollte dennoch niemand die Methode für kostenlose In-App-Käufe verwenden.


eye home zur Startseite
flasher395 29. Jul 2012

Okay, ich reformuliere meine Aussage mal etwas: Dein Verhalten ist Paranoid. Natürlich...

Netspy 16. Jul 2012

Welches Update? Du solltest dir die Nachträge von Golem im Artikel noch mal durchlesen...

Netspy 16. Jul 2012

Das ist grober Unsinn! Security through obscurity gaukelt nur Sicherheit vor, die aber...

vulkman 16. Jul 2012

Das stimmt halt nicht. Es gibt ja eine absolut wasserdichte Methode, wie sich App...

dynaDE 16. Jul 2012

Jein. Es gibt 2 Arten von Verschlüsselung. Zum einen die eigentlich Verbindung zum Server...

Kommentieren



Anzeige

  1. Billing / Rating Expert (m/w)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. ITK-Administrator/in
    Stadt Soltau, Soltau
  3. Featureteamleiter im Bereich Video (m/w)
    Robert Bosch GmbH, Leonberg
  4. Cloud-Architekt/in
    Robert Bosch GmbH, Stuttgart-Feuerbach

Detailsuche



Anzeige
Blu-ray-Angebote
  1. NEU: The Revenant - Der Rückkehrer (+ 4K Ultra HD-Blu-ray)
    29,99€
  2. VORBESTELLBAR: Warcraft: The Beginning (+ Blu-ray)
    32,26€
  3. 3 Blu-rays für 20 EUR
    (u. a. Spaceballs, Anastasia, Bullitt, Over the top, Space Jam)

Weitere Angebote


Folgen Sie uns
       


  1. Kupferkabel

    M-net setzt im Kupfernetz schnelles G.fast ein

  2. Facebook

    EuGH könnte Datentransfer in die USA endgültig stoppen

  3. Prozessoren

    Intel soll in Deutschland Abbau von 350 Stellen planen

  4. CCIX

    Ein Interconnect für alle

  5. Service

    Telekom-Chef kündigt Techniker-Termine am Samstag an

  6. Ausstieg

    Massenentlassungen in Microsofts Smartphone-Sparte

  7. Verbot von Geoblocking

    Brüssel will europäischen Online-Handel ankurbeln

  8. Konkurrenz zu DJI

    Xiaomi mit Kampfpreis für Mi-Drohne

  9. Security-Studie

    Mit Schokolade zum Passwort

  10. Lenovo

    Moto G4 kann doch mit mehr Speicher bestellt werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
Darknet
Die gefährlichen Anonymitätstipps der Drogenhändler
  1. Privatsphäre 1 Million Menschen nutzen Facebook über Tor
  2. Security Tor-Nutzer über Mausrad identifizieren

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. Hack von Rüstungskonzern Schweizer Cert gibt Security-Tipps für Unternehmen
  2. APT28 Hackergruppe soll CDU angegriffen haben
  3. Veröffentlichung privater Daten AfD sucht mit Kopfgeld nach "Datendieb"

Traceroute: Wann ist ein Nerd ein Nerd?
Traceroute
Wann ist ein Nerd ein Nerd?

  1. amerikanische Verhältnisse

    AllDayPiano | 02:35

  2. Re: Main-10?

    Moe479 | 02:35

  3. Re: Ausstieg ohne Ausstieg?

    cicero | 02:33

  4. Re: adblocker für den fernseher

    cat24max1 | 02:30

  5. Re: Wäre schön, wenn sie wenigstens absagen würden...

    Moe479 | 02:26


  1. 18:48

  2. 17:49

  3. 17:32

  4. 16:54

  5. 16:41

  6. 15:47

  7. 15:45

  8. 15:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel