Klartextpasswörter in Apples In-App-Store
Ein russischer Hacker fand heraus, dass Apple bei der Kommunikation für In-App-Käufe Passwörter und Nutzerdaten unverschlüsselt verschickt.
Alexey V. Borodins Ziel hatte darin bestanden, iOS-Anwendungen einen Apple-Server vorzutäuschen, um danach Käufe per In-App-Proxy kostenlos durchzuführen. Wie Golem.de berichtet, stiess er dabei allerdings auch auf Passwörter von Kunden, die im Klartext gespeichert wurden.
Apple verlässt sich bei In-App-Käufen offenbar darauf, dass das Gerät nur mit einem Apple-Server kommuniziert und verschlüsselt Passwörter zu den dazugehörigen Nutzernamen nicht. Da Borodin die eigentlich verschlüsselte Verbindung zu den Apple-Servern aushebelte, konnte er die Daten selbst empfangen.
Dies ist umso heikler, da Passwort und Nutzername nicht nur für App-Käufe benötigt werden, sondern Zugriff auf beispielsweise den iTunes-Zugang samt Guthaben oder auch auf die iCloud ermöglichen. Möglicherweise sei sogar die Ortung der Geräte möglich. Apple untersucht das Problem, teilte aber keine genauen Ursachen mit.
AWS startet Marktplatz für KI-Agenten
Meta-Manager vermeiden 8-Milliarden-Dollar-Klage
OpenAI integriert weiteren KI-Agenten in ChatGPT
KI-Investitionen sorgen für steigende IT-Ausgaben
Finanzbranche setzt auf GenAI – trotz Herausforderungen
Die Verwaltung und die Offenheit
Peach Weber zum Start der Sommerpause
Slack erweitert Plattform um KI-Funktionen
Die Redaktion macht Sommerpause
