Forum

Florian

  • Es lebe der König!
Re: Hack erlaubt Betrug beim In-App-Kauf
Antwort #1: Juli 16, 2012, 00:11:56
Der Link bzw. die Überschrift ist etwas irreführend.

Der Hacker baut ein Zwischenschaltstelle (man in the middle, proxy) auf, über den der Anwender absichtlich und extra seinen In-App-Kauf durchführt, weil er so betrügen kann und nicht bezahlen muss.
Im Normalfall läuft die Verbindung von iGerät zu Apples Servern über SSL, also sehr wohl verschlüsselt für alle außerhalb. 
_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides
Re: Hack erlaubt Betrug beim In-App-Kauf
Antwort #2: Juli 16, 2012, 07:46:13
Danke Florian für die Korrektur.

Beim Lesen des Links hatte ich schon einen Schrecken bekommen.
Der Inhalt des Artikels liest sich zum Glück völlig anders.

Um an das Kennwort zu kommen, muss man also selber zwei Sachen absichtlich machen:
1. Man muss im DNS seinen Datenverkehr absichtlich über einen anderen Server umleiten, der als Man-in-the-middle natürlich alle Daten im Klartext mitlesen kann.
2. Damit die SSL-Verbindung des Man-in-the-middle trotz fehlerhaftem Zertifikat benutzt wird, muss man es selber als vertrauenswürdig im System eintragen.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Es lebe der König!
Re: Hack erlaubt Betrug beim In-App-Kauf
Antwort #3: Juli 22, 2012, 22:52:31
Apple gibt den Entwicklern Tips, wie man vorbeugen kann bis iOS 6 Abhilfe schafft.

Interessant: Apple erlaubt hier Zugriff auf eine seiner private APIs, sonst ja gerne ein Grund zum Appstore-Ausschluss.
_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides