Der russische Hacker ZonD80 hat einen Weg gefunden, wie es möglich ist, Apps bei Apple ohne Bezahlung einzukaufen. Dabei wird ein sogenannter In-App Proxy auf dem System installiert. Dieser manipuliert den Verkehr. Der Apple-Blog 9to5Mac http://9to5mac.com hat diesen Proxy getestet und die Funktion bestätigt. Die Installation ist auch von Laien einfach durchzuführen.

Damit wurde vom diesem Hacker bereits die zweite Sicherheitslücke im App-Store von Apple gefunden. Die Apple-ID und die Passwörter werden in Klartext übertragen. Mit modifizierten DNS-Servern ist es ihm gelungen, an die heiklen Daten zu gelangen.

Sogar ein youtube-Video war über den Vorgang erhältlich. Jedoch hat Apple alles daran gesetzt, dieses Video von youtube zu löschen. Die Meldung, die bei dem Link nun erscheint:

Dieses Video ist aufgrund von Urheberrechtsanspruchs von Apple Inc. nicht mehr verfügbar.

Man kann nur hoffen, dass Apple in der Behebung der Sicherheitslücken ebenso flink agiert. Diese Hoffnung könnte sich jedoch schnell in Rauch auflösen. Apple wird kritisiert, dass deren Sicherheitsabwehr so lahm ist, wie die von Microsoft vor 10 Jahren.

Die Meldung von Apple:

The security of the App Store is incredibly important to us and the developer community. We take reports of fraudulent activity very seriously and we are investigating.

Viele App-Hersteller sind nun durch hohe potentielle finanzielle Einbußen betroffen.

Eine Meldung vom Antivirenhersteller Kaspersky:

Für die App-Entwickler ist diese Lücke extrem ärgerlich, weil sie ihre finanzielle Basis bedroht. Verifizierungen werden in Zukunft wohl Standard werden.

Ein Sicherheitstest / Penetrationstest des Online-Systems App-Shop wäre für Apple durchaus leistbar gewesen. Jedoch scheinen solche Tests noch nicht bis zu Apple vorgedrungen zu sein.

Artikel von pressetext.com, 16.07.2012: Hacker ermöglicht Gratis-Einkäufe bei Apple
Artikel von weblogit.net, 15.07.2012: Kostenlose In-App Käufe: russischer Hacker ZonD80 findet Schwachstelle