Klartextpasswörter in Apples In-App-Store
Ein russischer Hacker fand heraus, dass Apple bei der Kommunikation für In-App-Käufe Passwörter und Nutzerdaten unverschlüsselt verschickt.
Alexey V. Borodins Ziel hatte darin bestanden, iOS-Anwendungen einen Apple-Server vorzutäuschen, um danach Käufe per In-App-Proxy kostenlos durchzuführen. Wie Golem.de berichtet, stiess er dabei allerdings auch auf Passwörter von Kunden, die im Klartext gespeichert wurden.
Apple verlässt sich bei In-App-Käufen offenbar darauf, dass das Gerät nur mit einem Apple-Server kommuniziert und verschlüsselt Passwörter zu den dazugehörigen Nutzernamen nicht. Da Borodin die eigentlich verschlüsselte Verbindung zu den Apple-Servern aushebelte, konnte er die Daten selbst empfangen.
Dies ist umso heikler, da Passwort und Nutzername nicht nur für App-Käufe benötigt werden, sondern Zugriff auf beispielsweise den iTunes-Zugang samt Guthaben oder auch auf die iCloud ermöglichen. Möglicherweise sei sogar die Ortung der Geräte möglich. Apple untersucht das Problem, teilte aber keine genauen Ursachen mit.
Bundesrat bestimmt Fokusthemen der Strategie Digitale Schweiz 2026
Cyberangriffe auf die Schweiz sinken weiter
Neuartige künstliche Muskeln bewegen sich mit Schall
Wenn der Tag schon anders anfängt als gedacht
KI wirkt als Katalysator in der Cybersicherheit
Microsoft sieht sich Milliardenklage wegen zu hohen Cloud-Lizenzen gegenüber
KI beflügelt 2025 die Neugründungen von Start-ups in der Schweiz
Noser Engineering erweitert Geschäftsleitung um zwei Köpfe
Bundesrat treibt KI-Strategie für Bundesverwaltung weiter voran
