Abo
  • Services:
Anzeige
Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen.
Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen. (Bild: Apple)

iOS-Einkäufe: In-App-Store arbeitet mit Klartextpasswörtern

Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen.
Passwörter werden auf iOS-Geräten zum Teil im Klartext übertragen. (Bild: Apple)

Einem Hacker ist es gelungen, Käufe innerhalb einer iOS-App kostenlos durchzuführen. Dabei fiel ihm auf, dass auf Apples Mobilgeräten die Passwortübertragung im Klartext stattfindet.

Dem russischen Hacker Alexey V. Borodin ist es gelungen, In-App-Käufe kostenlos durchzuführen, wie unter anderem 9to5mac berichtet. Mit einem In-App-Proxy konnte er den iOS-Anwendungen einen Apple-Server vortäuschen, der Käufe bestätigt. Allerdings funktioniert das nicht mit allen Anwendungen. Einige führen zusätzliche Validierungsschritte durch.

Anzeige

Als Nebenprodukt des Hacks wurde allerdings entdeckt, wie Apple mit schutzwürdigen Informationen umgeht. Borodin kann nämlich die Passwörter der Nutzer sehen, wie er Macworld erklärte. Mit ein paar Zertifikaten und einem angepassten DNS-Server konnte er bereits zahlreiche Apple-IDs sowie die dazugehörigen Passwörter sehen.

Apple verlässt sich bei den Sicherheitsmaßnahmen darauf, dass mit einem Apple-Server kommuniziert wird. Offenbar wird deswegen das Passwort nicht verschlüsselt und kann einfach - samt Nutzernamen - mitgelesen werden.

Passwort und Nutzername sind bei Apples iOS-Geräten allerdings extrem wichtig. Wer an diese Kombination kommt, hat bei vielen Nutzern nicht nur Zugriff auf den iTunes-Zugang samt Guthaben, sondern auch auf die iCloud. Damit sind private Fotos und Backups der Geräte zugänglich. Selbst die Ortung der Apple-Nutzer ist möglich, wenn diese ihre Geräte mit der Funktion Find my iPhone verknüpft sind. Ein Transfer von Passwörtern im Klartext dürfte daher nicht passieren.

Apple untersucht das Problem bereits, wie der Konzern verschiedenen Medien mitteilte, ohne allerdings Details zu nennen.

Apple muss damit gleich zwei Schwachstellen beseitigen. Zum einen muss der Einkauf in Apps abgesichert werden. Und zum anderen muss der Umgang mit Passwörtern verändert werden.

Nachtrag vom 15. Juli 2012, 1:00 Uhr

In der ursprünglichen Fassung hieß es im letzten Absatz, dass die Passwörter von jedem gelesen werden können. Korrekt ist aber, dass nur der Betreiber des In-App-Proxys an diese Daten kommen kann, da das Klartextpasswort in einer SSL-Verbindung verschickt wird. Der entsprechende Absatz wurde korrigiert.

Nachtrag vom 16. Juli 2012, 10:00 Uhr

Bei dem Angriff, der eigentlich nur kostenlose In-App-Käufe ermöglichen sollte, handelt es sich um eine Man-in-the-Middle-Attacke, die prinzipiell auch andere hätten ausnutzen können. Der Angreifer versucht dabei, den Nutzer davon zu überzeugen, ein Zertifikat zu installieren und den DNS-Einträge zu manipulieren. Das iOS-Gerät vertraut diesem Zertifikat und dem damit ersetzten Appstore. Borodin ist das eigenen Angaben zufolge bei zahlreichen Nutzern gelungen, indem er ihnen kostenlose In-App-Käufe versprach. Bereits am Samstag sollen so 30.000 betrügerische Käufe registriert worden sein.

Damit gelang es ihm als Nebenprodukt, die eigentlich verschlüsselte Verbindung zu den Apple-Servern auszuhebeln und selbst die Daten zu empfangen. Da die Passwörter in dieser verschlüsselten Verbindung im Klartext übertragen werden, kam er an diese Daten heran. Über einen Social-Engineering-Angriff ist er somit an die Zugangsdaten zahlreicher Nutzer gekommen, obwohl die Verbindung an sich verschlüsselt ist. Der erfolgreiche Angriff benötigte also eine Kombination verschiedener Verfahren.

Borodin versichert auf seiner Webseite, dass er die sichtbaren Daten nicht verwendet und das Loggen von Daten deaktiviert hat. Aus Sicherheitsgründen sollte dennoch niemand die Methode für kostenlose In-App-Käufe verwenden.


eye home zur Startseite
flasher395 29. Jul 2012

Okay, ich reformuliere meine Aussage mal etwas: Dein Verhalten ist Paranoid. Natürlich...

Netspy 16. Jul 2012

Welches Update? Du solltest dir die Nachträge von Golem im Artikel noch mal durchlesen...

Netspy 16. Jul 2012

Das ist grober Unsinn! Security through obscurity gaukelt nur Sicherheit vor, die aber...

vulkman 16. Jul 2012

Das stimmt halt nicht. Es gibt ja eine absolut wasserdichte Methode, wie sich App...

dynaDE 16. Jul 2012

Jein. Es gibt 2 Arten von Verschlüsselung. Zum einen die eigentlich Verbindung zum Server...



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden
  2. Leica Microsystems CMS GmbH, Wetzlar
  3. Sodexo Services GmbH, Rüsselsheim
  4. Rechenzentrum Region Stuttgart GmbH, Stuttgart


Anzeige
Hardware-Angebote
  1. 17,99€ statt 29,99€
  2. 18,90€
  3. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


  1. Hauptversammlung

    Rocket Internet will eine Bank sein

  2. Alphabet

    Google-Chef verdient 200 Millionen US-Dollar

  3. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  4. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  5. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  6. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  7. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  8. Die Woche im Video

    Mr. Robot und Ms MINT

  9. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  10. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Akkutechnik: Was, wenn nicht Lithium?
Akkutechnik
Was, wenn nicht Lithium?
  1. Anker Powercore+ 26800 PD Akkupack liefert Strom per Power Delivery über USB Typ C
  2. Geländekauf in Nevada Google wird Nachbar von Teslas Gigafactory
  3. Lithium-Akkus Durchbruch verzweifelt gesucht

Quantencomputer: Alleskönner mit Grenzen
Quantencomputer
Alleskönner mit Grenzen
  1. Cryogenic Memory Rambus arbeitet an tiefgekühltem Quantenspeicher
  2. Quantenphysik Im Kleinen spielt das Universum verrückt

Spielebranche: "Ungefähr jetzt ist der Prinzessin-Leia-Moment"
Spielebranche
"Ungefähr jetzt ist der Prinzessin-Leia-Moment"
  1. Electronic Arts "Alle unsere Studios haben VR-Programmiermöglichkeiten"
  2. Spielentwickler Männlich, 34 Jahre alt und unterbezahlt
  3. Let's Player Auf Youtube verkauft auch die Trashnight Spiele

  1. Re: Langsam wird Musk verrückt

    tingelchen | 22:37

  2. Re: Abgehoben

    plutoniumsulfat | 22:35

  3. Re: Wer kein Geld mehr hat macht ne Bank auf

    widdermann | 22:28

  4. Re: Lieber das U-Bahnnetz ausbauen!

    tingelchen | 22:22

  5. Re: Mrs. ist verheiratet - korrekt wäre Ms oder Ms.

    MarioWario | 22:05


  1. 13:08

  2. 12:21

  3. 15:07

  4. 14:32

  5. 13:35

  6. 12:56

  7. 12:15

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel