Ein Russe knackt Apples App Store

App Store hat den Hackerangriff von den Russen überlegt. Foto: Getty_Images

App Store hat den Hackerangriff von den Russen überlegt. Foto: Getty_Images

Rechtlich umstritten, aber intelligent: Ein 21-jähriger Russe hat einen Weg gefunden, die Zahlungspflicht bei In-App-Käufen im App Store zu umgehen. Liebhaber beliebter Spiele können nun gratis zu ihrem Vergnügen kommen. Apple hat den Hackerangriff zwar schon vergangene Woche bemerkt, konnte das Leck bis jetzt jedoch nicht abdichten.

Bei sogenannten In-App-Käufen kann der Comuter-, iPhone- oder iPad-Nutzer innerhalb einer Anwendung ("Applikation", App) verschiedene Inhalte gegen Bezahlung dazukaufen. Dazu gehören beispielsweise zahlungspflichtige Zusatzinformationen von Zeitungsapps. Auch etablierte Internetfirmen nutzen Freemium („Free, but Premium“) als Geschäftsmodell, bieten also Gratisbasisdienste und kostenpflichtige Zusatzangebote, wie z. B. Skype, Flickr oder XING. Besonders bei Spielen ist diese Art von App sehr beliebt. Meist ist das Spiel selbst kostenlos oder für wenige Cent zu haben, aber der Nachkauf von Spielwährung, Credits, virtuellen Waren oder Waffen geht ins Geld. Richtig ins Geld, wenn man spielsüchtig ist.

Die Aushebelung dieses Zwangskaufs bei In-App-Käufen ist dieser Tage dem 21-jährigen Russen Alexei Borodin gelungen. Er hat eine Software entwickelt, mit der man kostenlos an diese Zukäufe kommt. Dafür muss der iPhone- oder iPad-Besitzer spezielle Zertifikate auf sein Gerät laden und bestimmte Internet-Einstellungen ändern. Damit stehen alle weiteren Downloads und Aktualisierungen für diese Anwendung gratis zur Verfügung. Das iPad oder iPhone muss selbst nicht geknackt werden (kein „Jail Break“).

Er habe das System gehackt, weil es ihm nicht passte, dass

die Entwickler des Spiels „CSR Racing“ die Nutzer regelrecht dazu gedrängt haben, virtuelle Waren nachzukaufen, so Borodin. Er hält aber seinen “Cyber-Angriff“ für legal: „Käufe innerhalb von Apps unterliegen keinen Lizenzbedingungen. Man bezahlt für nichts. Man kann das Spiel „Cut the Rope“ installieren und Waren für 200 Dollar kaufen. Löscht man aber das Spiel und installiert es neu, sind alle Käufe hin!“ Offiziell habe sich Apple noch nicht bei ihm gemeldet, dafür aber umso mehr App-Entwickler, verrät Borodin verschmitztet. „Einige bezeichnen mich als Betrüger, andere sind begeistert und bieten mir einen Job an.“

Wie Apple-Sprecherin Natalie Harrison berichtet, wird derzeit der Angriff auf das interne In-App-Verkaufssystem untersucht. „Die Sicherheit des App Store ist für uns und die Entwickler-Community unglaublich wichtig“, so Harrison. Das Problem wurde schon gelöst, wirft aber ein Schatten auf Apple.

Was genau hat Borodin herausgefunden und weitergegeben? Bei In-App-Käufen sendet die App zunächst eine Anfrage an den App Store von Apple, von wo sie aus zur Kontrolle an den Server des App-Produzenten weitergeleitet wird. Nach Überprüfung der Daten wird eine Quittung an den App Store zurückgeschickt, wo Kauf und Download endgültig genehmigt werden, erklärt Alexander Matrossow, Direktor des Zentrums für Virenforschung der slowakischen Firma für Sicherheitssoftware Eset. Borodin habe herausgefunden, wie der Datenaustausch zwischen dem App Store und den jeweiligen Produzenten abläuft und ihn manipuliert.

Kirill Leonow von der Antivirus-Firma Dr. Web pflichtet dem bei: "Das System konnte vor allem deswegen geknackt werden, weil Apple die Nutzerdaten bei In-App-Käufen nicht verschlüsselt." Zur Erhöhung der Sicherheit könnte Apple gewisse Einstellungsmöglichkeiten für den Internetzugang unsichtbar machen.

Außerhalb Russlands wurde der Hackerangriff am 13. Juli bekannt, nachdem das beliebte Internetportal “9to5Mac“ davon berichtet hatte. Bis zu jenem Zeitpunkt waren bereits 30.000 illegale Käufe abgewickelt worden, berichtet Borodin überrascht auf seinem Informationsportal „The Next Web“.

Die Firma Zeptolab, Entwicklerin des Spiels "Cut The Rope", hat in Eigenregie einen Weg zur Blockade des Angriffs gefunden, berichtet deren CEO Michail Ljalin. Seiner Einschätzung nach haben von der Möglichkeit des kostenlosen Downloads nur wenige Nutzer Gebrauch gemacht. Zeptolab erkenne keinen großen Sinn darin, jene Nutzer zu sperren, die Borodins Trick benutzt haben. Auch Alisa Tschumatschenko, Gründerin des russischen Spieleentwicklers "Game Insight", dessen Haupteinnahmequelle In-App-Käufe sind, gibt sich ebenfalls gelassen. Bisher seien ihre eigenen populären Spiele nicht betroffen.

Dass der Angriff nur wenige Apps betroffen habe, ist auch die Meinung von Kirill Leonow von Dr. Web: "Der Schaden hält sich in Grenzen."  Dennoch liege das Besondere darin, dass es überhaupt um den ersten Hackerangriff auf den App Store von Apple geht.

Dieser Artikel erschien zuerst in Vedomosti.ru.

Alle Rechte vorbehalten. Rossijskaja Gaseta, Moskau, Russland