Der russische Hacker ZonD80 hat eine Möglichkeit gefunden, Gratis In-App-Käufe auf mobilen Endgeräten von Apple durchzuführen. Durch das Herunterladen einiger Sicherheitszertifikate von der Internetseite von ZonD80 und anschliessender Änderung einer einzelnen WLAN-Einstellung sind bei vielen Apps für iPad und iPhone kostenlose In-App-Downloads möglich. Der Apple-Blog 9to5Mac hat den Exploit getestet und bestätigt, dass der beschriebene Ansatz funktioniert und zwar auf verschiedenen Betriebssystemen, von iOS3 bis zum noch nicht offiziell erschienenen iOS6. Die Download-Seite von ZonD80 ist derzeit offline.
Enormer Schaden
Der potenzielle finanzielle Schaden durch die Veröffentlichung der Sicherheitslücke sind beachtlich. Viele App-Hersteller verdienen ihr Geld fast ausschliesslich durch In-App-Verkäufe. Hören die User auf, für zusätzliche Inhalte zu bezahlen, bricht das Geschäftsmodell vieler Apps zusammen. Apple hat allerdings unwissentlich schon eine Lösung für das Problem auf Lager. Eine Software für Entwickler, die Rechnungen verifiziert, verhindert das umgehen der Kasse bei In-App-Käufen. Apps, deren Hersteller die Software verwenden, sind nicht vom Hack betroffen. Apple hat sich bisher nicht zu der Sicherheitslücke geäußert. Momentan gibt es dazu auch keinen Bedarf. Die Server von ZonD80 sind wegen des enormen Andrangs offline. Interessenten können sich derzeit also keinen Zutritt zu kostenlosen Items in ihren Apps verschaffen. Auf seinem Blog schreibt ZonD80, dass er die Server in zwei bis drei Tagen wieder repariert haben will.
Schattenseite des Ruhms
Apple musste zuletzt auch an anderer Stelle Probleme an der Sicherheitsfront eingestehen. Malware für OS X, die Entfernung einer böswilligen App aus dem App-Store und die Entfernung des Hinweises auf Immunität gegen Viren von der Webseite deuten darauf hin, dass Apple langsam die Schattenseiten des Erfolges kennenlernt. Mit der enormen Popularität der Hard- und Software steigt auch die Attraktivität für die Produzenten von Malware. (pte)
