Hat der App Store von Apple ein böses Problem?

Als Alexey Borodin alias ZonD80 seinen App-Store-Hack publik machte, blieb es zunächst ruhig. Doch dann berichteten die US-Technologie-Blogs über das Sicherheitsproblem, das alle iOS-Geräte betreffen könnte, vom iPhone über das iPad bis zum iPod touch. Daraufhin verbreitete sich in Windeseile die Nachricht, dass der russische Hacker das In-App-Bezahlsystem geknackt habe. Vorübergehend konnte man kostenpflichtige Inhalte, die innerhalb von Games und anderen Apps feil geboten werden, gratis herunterladen.

20 Minuten Online hat den IT-Sicherheitsexperten Stefan Friedli von der Firma Scip AG in Zürich um eine Einschätzung gebeten.

Herr Friedli, wie gefährlich ist die Sicherheitslücke?

Stefan Friedli: Es handelt sich nicht in diesem Sinne um eine Sicherheitslücke, sondern um eine Emulation gewisser App-Store-Dienste, die genutzt werden, um In-App-Käufe abwickeln zu können. Der Nutzer biegt dann seinen Traffic mittels geänderter Internet-Einstellung und speziell installierter Zertifikate so um, dass er nicht bei Apple landet, sondern bei dieser emulierten Umgebung. Dadurch kann der Bezahlungsvorgang anscheinend simuliert werden, ohne dass effektiv eine Bezahlung vorgenommen wird.

Betrifft das jeden iOS-Nutzer?

Wer die Lücke nicht auszunutzen versucht, für den bestehen keine Berührungspunkte zu irgendeiner neuen Gefahrenlage. Wer die Lücke nutzt, um ohne Bezahlung an kostenpflichtige Inhalte zu kommen, verletzt vermutlich Apples Nutzungsbedingungen und kann möglicherweise in Folge dessen Zugang zum richtigen App Store und den dort getätigten Einkäufen verlieren. Wie Apple mit solchen Fällen konkret umgehen wird, kann ich nicht sagen.

Wie gross ist das Verschulden von Apple?

Das kann man so nicht beantworten. Mechanismen wie dieser werden konzipiert, diese Konzepte werden geprüft und umgesetzt. Aus Sicherheitssicht hat Apple keine groben Fehler gemacht, viel mehr hat man dieses Szenario wohl bei der Erarbeitung nicht berücksichtigt. Die Lösung des Problems wird in der Einschränkung der für den App Store erlaubten Zertifikate liegen und ist für Apple mit vergleichbar kleinem Aufwand umsetzbar.

Was könnten die Folgen für den US-Konzern sein?

Eventuell gibt es einen geringfügigen Schaden wegen der negativen Presse. Für die Behebung der Schwachstelle wird nicht mehr Aufwand entstehen als für beliebige andere Bugs. Wie viel Aufwand Apple sich machen wird, um eventuelle Missbräuche zu verfolgen, bleibt abzuwarten.

Und wie sind die App-Entwickler betroffen?

Hier gibt es natürlich den höchsten potenziellen Schaden, dadurch, dass Entwickler direkt von den Einkünften der In-App-Käufe profitieren. Bei den Millionen von zahlenden Kunden, die weder das technische Interesse besitzen noch einen Verlust ihres iTunes-Accounts riskieren möchten, halte ich es aber für Schwarzmalerei, hier wirklich signifikante Verluste zu prophezeien.

(Interview-Ende)

Nicht ausprobieren!

Borodins Tutorial-Video bei YouTube ist inzwischen wegen «Urheberrechts-Ansprüchen von Apple» gesperrt worden. Im Film demonstrierte er, wie sich bei virtuellen Einkäufen mit wenigen Handgriffen Geld sparen lässt - illegal und zu Lasten der App-Anbieter. Demnach kann der Apple-Server, der eine sichere Verbindung zum iOS-Gerät herstellt, mit einer Man-in-the-Middle-Attacke überlistet werden.

Neu sei die Sicherheitslücke nicht, konstatierte heise.de. Bereits im vergangenen Jahr hätten Hacker Apples Bezahlsystem für Einkäufe innerhalb von Apps geknackt – allerdings funktionierte dies nur mit einem Jailbreak. Borodins Methode kommt hingegen ohne Manipulationen des Betriebssystems aus. Sie erfordert lediglich die Installation von manipulierten Zertifikaten sowie die Umleitung der Internetverbindung über einen Server des Hackers.

Weil solche Hacks die Sicherheits-Vorkehrungen des Geräts aushebeln, ist dringend davon abzuraten.

«Wir untersuchen die Angelegenheit»

Apple reagierte zunächst nur mit einem dürren Statement. «Die Sicherheit des App Store ist unglaublich wichtig für uns und die Entwickler-Community», liess die Apple-Sprecherin gegenüber US-Medien verlauten. Und weiter: «Wir nehmen die Berichte über betrügerische Aktivitäten sehr ernst und untersuchen die Angelegenheit.»

Borodin selbst bestätigte gegenüber «Macworld», dass er sensible Daten wie die Apple-ID und das Passwort der Nutzer auslesen könne. Er versprach, dass er diese wertvollen Informationen weder sammeln noch missbrauchen werde. Laut eigenen Angaben hofft der junge Mann mit den Programmierkenntnissen vielmehr auf einen lukrativen Job – bei Apple.