iOS-Einkäufe: In-App-Store arbeitet mit Klartextpasswörtern

Einem Hacker ist es gelungen, Käufe innerhalb einer iOS-App kostenlos durchzuführen. Dabei fiel ihm auf, dass auf Apples Mobilgeräten die Passwortübertragung im Klartext stattfindet.

Artikel veröffentlicht am ,
Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen.
Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen. (Bild: Apple)

Dem russischen Hacker Alexey V. Borodin ist es gelungen, In-App-Käufe kostenlos durchzuführen, wie unter anderem 9to5mac berichtet. Mit einem In-App-Proxy konnte er den iOS-Anwendungen einen Apple-Server vortäuschen, der Käufe bestätigt. Allerdings funktioniert das nicht mit allen Anwendungen. Einige führen zusätzliche Validierungsschritte durch.

Stellenmarkt
  1. Product Owner (m/w/d)
    Interhyp Gruppe, München
  2. IT Service Desk Agent (m/w/d)
    MCM Klosterfrau Vertriebsgesellschaft mbH, Köln
Detailsuche

Als Nebenprodukt des Hacks wurde allerdings entdeckt, wie Apple mit schutzwürdigen Informationen umgeht. Borodin kann nämlich die Passwörter der Nutzer sehen, wie er Macworld erklärte. Mit ein paar Zertifikaten und einem angepassten DNS-Server konnte er bereits zahlreiche Apple-IDs sowie die dazugehörigen Passwörter sehen.

Apple verlässt sich bei den Sicherheitsmaßnahmen darauf, dass mit einem Apple-Server kommuniziert wird. Offenbar wird deswegen das Passwort nicht verschlüsselt und kann einfach - samt Nutzernamen - mitgelesen werden.

Passwort und Nutzername sind bei Apples iOS-Geräten allerdings extrem wichtig. Wer an diese Kombination kommt, hat bei vielen Nutzern nicht nur Zugriff auf den iTunes-Zugang samt Guthaben, sondern auch auf die iCloud. Damit sind private Fotos und Backups der Geräte zugänglich. Selbst die Ortung der Apple-Nutzer ist möglich, wenn diese ihre Geräte mit der Funktion Find my iPhone verknüpft sind. Ein Transfer von Passwörtern im Klartext dürfte daher nicht passieren.

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    14.-16.06.2022, Virtuell
  2. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    19./20.05.2022, virtuell
Weitere IT-Trainings

Apple untersucht das Problem bereits, wie der Konzern verschiedenen Medien mitteilte, ohne allerdings Details zu nennen.

Apple muss damit gleich zwei Schwachstellen beseitigen. Zum einen muss der Einkauf in Apps abgesichert werden. Und zum anderen muss der Umgang mit Passwörtern verändert werden.

Nachtrag vom 15. Juli 2012, 1:00 Uhr

In der ursprünglichen Fassung hieß es im letzten Absatz, dass die Passwörter von jedem gelesen werden können. Korrekt ist aber, dass nur der Betreiber des In-App-Proxys an diese Daten kommen kann, da das Klartextpasswort in einer SSL-Verbindung verschickt wird. Der entsprechende Absatz wurde korrigiert.

Nachtrag vom 16. Juli 2012, 10:00 Uhr

Bei dem Angriff, der eigentlich nur kostenlose In-App-Käufe ermöglichen sollte, handelt es sich um eine Man-in-the-Middle-Attacke, die prinzipiell auch andere hätten ausnutzen können. Der Angreifer versucht dabei, den Nutzer davon zu überzeugen, ein Zertifikat zu installieren und den DNS-Einträge zu manipulieren. Das iOS-Gerät vertraut diesem Zertifikat und dem damit ersetzten Appstore. Borodin ist das eigenen Angaben zufolge bei zahlreichen Nutzern gelungen, indem er ihnen kostenlose In-App-Käufe versprach. Bereits am Samstag sollen so 30.000 betrügerische Käufe registriert worden sein.

Damit gelang es ihm als Nebenprodukt, die eigentlich verschlüsselte Verbindung zu den Apple-Servern auszuhebeln und selbst die Daten zu empfangen. Da die Passwörter in dieser verschlüsselten Verbindung im Klartext übertragen werden, kam er an diese Daten heran. Über einen Social-Engineering-Angriff ist er somit an die Zugangsdaten zahlreicher Nutzer gekommen, obwohl die Verbindung an sich verschlüsselt ist. Der erfolgreiche Angriff benötigte also eine Kombination verschiedener Verfahren.

Borodin versichert auf seiner Webseite, dass er die sichtbaren Daten nicht verwendet und das Loggen von Daten deaktiviert hat. Aus Sicherheitsgründen sollte dennoch niemand die Methode für kostenlose In-App-Käufe verwenden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


flasher395 29. Jul 2012

Okay, ich reformuliere meine Aussage mal etwas: Dein Verhalten ist Paranoid. Natürlich...

Netspy 16. Jul 2012

Welches Update? Du solltest dir die Nachträge von Golem im Artikel noch mal durchlesen...

Netspy 16. Jul 2012

Das ist grober Unsinn! Security through obscurity gaukelt nur Sicherheit vor, die aber...

vulkman 16. Jul 2012

Das stimmt halt nicht. Es gibt ja eine absolut wasserdichte Methode, wie sich App...



Aktuell auf der Startseite von Golem.de
Forschung
Blaualge versorgt Computer sechs Monate mit Strom

Ein Forschungsteam hat einen Mikroprozessor sechs Monate ununterbrochen mit Strom versorgt. Die Algen lieferten sogar bei Dunkelheit.

Forschung: Blaualge versorgt Computer sechs Monate mit Strom
Artikel
  1. EC-Karte: Trotz Kartensperre können Diebe stundenlang Geld abheben
    EC-Karte
    Trotz Kartensperre können Diebe stundenlang Geld abheben

    Eine Sperre der Girocard wird nicht immer sofort aktiv. Verbraucher können sich bereits im Vorfeld schützen.

  2. Reine E-Plattform: Audi A3 soll 2027 elektrisch fahren
    Reine E-Plattform
    Audi A3 soll 2027 elektrisch fahren

    Der nächste Audi A3 wird kein Verbrenner mehr, sondern ein reines Elektroauto. Dafür setzt Audi auf eine eigene Plattform.

  3. Raspberry Pi: Besser gießen mit Raspi und Xiaomi-Pflanzensensor
    Raspberry Pi
    Besser gießen mit Raspi und Xiaomi-Pflanzensensor

    Wer keinen grünen Daumen hat, kann sich von Sensoren helfen lassen. Komfortabel sind sie aber erst, wenn die Daten automatisch ausgelesen werden.
    Eine Anleitung von Thomas Hahn

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV (2021) 77" günstig wie nie: 1.771,60€ statt 4.699€ • Grakas günstig wie nie (u. a. RTX 3080Ti 1.285€) • Samsung SSD 1TB (PS5-komp.) + Heatsink günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsdeals MediaMarkt • Bosch Prof. bis 53% günstiger[Werbung]
    •  /