Klartextpasswörter in Apples In-App-Store
Ein russischer Hacker fand heraus, dass Apple bei der Kommunikation für In-App-Käufe Passwörter und Nutzerdaten unverschlüsselt verschickt.
Alexey V. Borodins Ziel hatte darin bestanden, iOS-Anwendungen einen Apple-Server vorzutäuschen, um danach Käufe per In-App-Proxy kostenlos durchzuführen. Wie Golem.de berichtet, stiess er dabei allerdings auch auf Passwörter von Kunden, die im Klartext gespeichert wurden.
Apple verlässt sich bei In-App-Käufen offenbar darauf, dass das Gerät nur mit einem Apple-Server kommuniziert und verschlüsselt Passwörter zu den dazugehörigen Nutzernamen nicht. Da Borodin die eigentlich verschlüsselte Verbindung zu den Apple-Servern aushebelte, konnte er die Daten selbst empfangen.
Dies ist umso heikler, da Passwort und Nutzername nicht nur für App-Käufe benötigt werden, sondern Zugriff auf beispielsweise den iTunes-Zugang samt Guthaben oder auch auf die iCloud ermöglichen. Möglicherweise sei sogar die Ortung der Geräte möglich. Apple untersucht das Problem, teilte aber keine genauen Ursachen mit.
Mit dem richtigen Timing zu besserer Elektronik
"Moderne Architekturen sind flexibel"
"KI ist die Beschleunigerin"
Westschweizer IT-Dienstleister Silicom übernimmt Dialogue Logique
Was Mitarbeitende wirklich bindet – der psychologische Vertrag
Bei Profondia immer an der richtigen Adresse
"Kühlung rückt in den Fokus"
"Akzeptanz ist die wichtigste Messgrösse"
Econis holt Co-CEO an Bord
