Abo
  • Services:
Anzeige
Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen.
Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen. (Bild: Apple)

iOS-Einkäufe: In-App-Store arbeitet mit Klartextpasswörtern

Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen.
Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen. (Bild: Apple)

Einem Hacker ist es gelungen, Käufe innerhalb einer iOS-App kostenlos durchzuführen. Dabei fiel ihm auf, dass auf Apples Mobilgeräten die Passwortübertragung im Klartext stattfindet.

Dem russischen Hacker Alexey V. Borodin ist es gelungen, In-App-Käufe kostenlos durchzuführen, wie unter anderem 9to5mac berichtet. Mit einem In-App-Proxy konnte er den iOS-Anwendungen einen Apple-Server vortäuschen, der Käufe bestätigt. Allerdings funktioniert das nicht mit allen Anwendungen. Einige führen zusätzliche Validierungsschritte durch.

Anzeige

Als Nebenprodukt des Hacks wurde allerdings entdeckt, wie Apple mit schutzwürdigen Informationen umgeht. Borodin kann nämlich die Passwörter der Nutzer sehen, wie er Macworld erklärte. Mit ein paar Zertifikaten und einem angepassten DNS-Server konnte er bereits zahlreiche Apple-IDs sowie die dazugehörigen Passwörter sehen.

Apple verlässt sich bei den Sicherheitsmaßnahmen darauf, dass mit einem Apple-Server kommuniziert wird. Offenbar wird deswegen das Passwort nicht verschlüsselt und kann einfach - samt Nutzernamen - mitgelesen werden.

Passwort und Nutzername sind bei Apples iOS-Geräten allerdings extrem wichtig. Wer an diese Kombination kommt, hat bei vielen Nutzern nicht nur Zugriff auf den iTunes-Zugang samt Guthaben, sondern auch auf die iCloud. Damit sind private Fotos und Backups der Geräte zugänglich. Selbst die Ortung der Apple-Nutzer ist möglich, wenn diese ihre Geräte mit der Funktion Find my iPhone verknüpft sind. Ein Transfer von Passwörtern im Klartext dürfte daher nicht passieren.

Apple untersucht das Problem bereits, wie der Konzern verschiedenen Medien mitteilte, ohne allerdings Details zu nennen.

Apple muss damit gleich zwei Schwachstellen beseitigen. Zum einen muss der Einkauf in Apps abgesichert werden. Und zum anderen muss der Umgang mit Passwörtern verändert werden.

Nachtrag vom 15. Juli 2012, 1:00 Uhr

In der ursprünglichen Fassung hieß es im letzten Absatz, dass die Passwörter von jedem gelesen werden können. Korrekt ist aber, dass nur der Betreiber des In-App-Proxys an diese Daten kommen kann, da das Klartextpasswort in einer SSL-Verbindung verschickt wird. Der entsprechende Absatz wurde korrigiert.

Nachtrag vom 16. Juli 2012, 10:00 Uhr

Bei dem Angriff, der eigentlich nur kostenlose In-App-Käufe ermöglichen sollte, handelt es sich um eine Man-in-the-Middle-Attacke, die prinzipiell auch andere hätten ausnutzen können. Der Angreifer versucht dabei, den Nutzer davon zu überzeugen, ein Zertifikat zu installieren und den DNS-Einträge zu manipulieren. Das iOS-Gerät vertraut diesem Zertifikat und dem damit ersetzten Appstore. Borodin ist das eigenen Angaben zufolge bei zahlreichen Nutzern gelungen, indem er ihnen kostenlose In-App-Käufe versprach. Bereits am Samstag sollen so 30.000 betrügerische Käufe registriert worden sein.

Damit gelang es ihm als Nebenprodukt, die eigentlich verschlüsselte Verbindung zu den Apple-Servern auszuhebeln und selbst die Daten zu empfangen. Da die Passwörter in dieser verschlüsselten Verbindung im Klartext übertragen werden, kam er an diese Daten heran. Über einen Social-Engineering-Angriff ist er somit an die Zugangsdaten zahlreicher Nutzer gekommen, obwohl die Verbindung an sich verschlüsselt ist. Der erfolgreiche Angriff benötigte also eine Kombination verschiedener Verfahren.

Borodin versichert auf seiner Webseite, dass er die sichtbaren Daten nicht verwendet und das Loggen von Daten deaktiviert hat. Aus Sicherheitsgründen sollte dennoch niemand die Methode für kostenlose In-App-Käufe verwenden.


eye home zur Startseite
flasher395 29. Jul 2012

Okay, ich reformuliere meine Aussage mal etwas: Dein Verhalten ist Paranoid. Natürlich...

Netspy 16. Jul 2012

Welches Update? Du solltest dir die Nachträge von Golem im Artikel noch mal durchlesen...

Netspy 16. Jul 2012

Das ist grober Unsinn! Security through obscurity gaukelt nur Sicherheit vor, die aber...

vulkman 16. Jul 2012

Das stimmt halt nicht. Es gibt ja eine absolut wasserdichte Methode, wie sich App...

dynaDE 16. Jul 2012

Jein. Es gibt 2 Arten von Verschlüsselung. Zum einen die eigentlich Verbindung zum Server...



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Süddeutsche Zeitung Digitale Medien GmbH, München
  4. CIBER AG, Heidelberg


Anzeige
Top-Angebote
  1. Um den 15-Prozent-Gutschein in Anspruch nehmen zu können, kaufen die Nutzer einfach ihren...
  2. (u. a. Jurassic World, Creed, Die Unfassbaren, Kingsman, John Wick, Interstellar, Mad Max)
  3. 99,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Regierung

    Wie die Telekom bei Merkel ihre Interessen durchsetzt

  2. Embedded Radeon E9550

    AMD packt Polaris in 4K-Spieleautomaten

  3. Pay-TV

    Ultra-HD-Programm von Sky startet im Oktober

  4. Project Catapult

    Microsoft setzt massiv auf FPGAs

  5. Kabel

    Vodafone deckt mit 400 MBit/s fünf Millionen Haushalte ab

  6. Session Recovery

    Firefox und Chrome schreiben sehr viele Daten

  7. Windows 10 Enterprise

    Edge-Browser soll bald in virtueller Umgebung laufen

  8. Valve

    Oberfläche von Steam wird überarbeitet

  9. Tintenstrahldrucker

    Anbieter umgehen HPs Patronensperre

  10. UTM

    Nokia lässt Drohnen am Flughafen steigen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oliver Stones Film Snowden: Schneewittchen und die nationale Sicherheit
Oliver Stones Film Snowden
Schneewittchen und die nationale Sicherheit
  1. US-Experten im Bundestag Gegen Überwachung helfen keine Gesetze
  2. Neues BND-Gesetz Eco warnt vor unkontrolliertem Zugriff auf deutschen Traffic
  3. Datenschützerin Voßhoff Geheimbericht wirft BND schwere Gesetzesverstöße vor

Fitbit Charge 2 im Test: Fitness mit Herzschlag und Klopfgehäuse
Fitbit Charge 2 im Test
Fitness mit Herzschlag und Klopfgehäuse
  1. Fitbit Ausatmen mit dem Charge 2
  2. Polar M600 Sechs LEDs für eine Pulsmessung
  3. Fitnessportale Die Spielifizierung des Sports

Forza Horizon 3 im Test: Autoparadies Australien
Forza Horizon 3 im Test
Autoparadies Australien
  1. Die Woche im Video Schneewittchen und das iPhone 7
  2. Forza Motorsport 6 PC-Rennspiel Apex fährt aus der Beta
  3. Microsoft Play Anywhere gilt für alle Spiele der Microsoft Studios

  1. Re: Upload vs Download - Vectoring hat hier die...

    michid | 15:41

  2. rgb high-low?

    flippo00 | 15:38

  3. Re: Caching Platte

    dura | 15:38

  4. Re: Unsignierter Code?

    Netspy | 15:38

  5. Re: verlegt endlich als staatliche Infrastruktur...

    Oktavian | 15:37


  1. 15:35

  2. 15:00

  3. 14:18

  4. 13:54

  5. 13:24

  6. 13:15

  7. 13:00

  8. 12:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel