Apple dicht lek in-app-aankopen in iOS 6

Apple zal het lek dichten dat het mogelijk maakt om zonder te betalen in-app aankopen te doen in iOS 6. Tot die tijd kunnen ontwikkelaars transacties laten bevestigen via een eigen server. De hacker bevestigt dat 'het spel nu uit is'.

In-AppstoreDe hack maakt het mogelijk om in-app aankopen te doen zonder te betalen omdat de hacker zich voordoet als server van Apple en via een man-in-the-middle-aanval tussen de app en de server van Apple ging zitten. De omweg voor de tijdelijke fix loopt via een api die voorheen niet gebruikt mocht worden. Vanaf iOS 6 is het lek dat de hack mogelijk maakt gedicht, zegt Apple. De hacker 'heeft geen manier om de api's die van een update zijn voorzien te omzeilen', zegt hij op zijn eigen blog.

In totaal zijn er vorige week meer dan acht miljoen transacties gedaan via de hack, aldus de hacker tegen The Next Web. De hack vereist geen jailbreak; de gebruiker moet alleen enkele profielen aanpassen in iOS en de dns-instellingen wijzigen om de app contact te laten maken met de server van de hacker. De hack kon sinds tien dagen geleden gebruikt worden.

Inmiddels heeft dezelfde Russische hacker een methode bekendgemaakt waarmee gebruikers ook gratis in-app-aankopen bij applicaties voor OS X kunnen doen. Ook hierbij moet de gebruiker zijn systeem na dns-wijzigingen naar de server van de Rus laten verwijzen. Die server doet zich dan voor als de Mac App Store en biedt de vereiste authenticatie voor de aankoop. De gebruiker moet daarnaast een aparte app met de naam Grim Receiper draaien.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 23-07-2012 14:21 36

23-07-2012 • 14:21

36

Lees meer

Apple iPhone 4S

geen prijs bekend

4.5 van 5 sterren
Apple iPad (voorjaar 2012)

geen prijs bekend

4.5 van 5 sterren
Apple heeft geen meldingen gehad van slachtoffers Masque-aanval
Apple heeft geen meldingen gehad van slachtoffers Masque-aanval Nieuws van 14 november 2014
Apple iPad 2

geen prijs bekend

4.5 van 5 sterren
'Minder dan één procent mobiele gamers zorgt voor helft in-app-aankopen'
'Minder dan één procent mobiele gamers zorgt voor helft in-app-aankopen' Nieuws van 28 februari 2014
Criminelen wijzigen dns-servers op routers om geld te roven
Criminelen wijzigen dns-servers op routers om geld te roven Nieuws van 7 februari 2014
Hacker claimt nieuwe iboot-exploitmethode voor Apple A5-soc
Hacker claimt nieuwe iboot-exploitmethode voor Apple A5-soc Nieuws van 2 februari 2014
Bug in iOS maakt omzeilen lockscreen mogelijk
Bug in iOS maakt omzeilen lockscreen mogelijk Nieuws van 14 februari 2013
Ontwikkelaars hinten op jailbreak iPhone 5 voor zondag
Ontwikkelaars hinten op jailbreak iPhone 5 voor zondag Nieuws van 29 januari 2013
Regel html-code kan Galaxy-telefoons resetten
Regel html-code kan Galaxy-telefoons resetten Nieuws van 25 september 2012
Nederlanders vinden beveiligingsprobleem in browser iOS 6
Nederlanders vinden beveiligingsprobleem in browser iOS 6 Nieuws van 19 september 2012
Apple komt met nieuwe iPod touch en Nano
Apple komt met nieuwe iPod touch en Nano Nieuws van 12 september 2012
Truc maakt alle software gratis in applicatiewinkels Apple
Truc maakt alle software gratis in applicatiewinkels Apple Nieuws van 11 augustus 2012
Siri kan in iOS 6 ook overweg met locaties in Benelux
Siri kan in iOS 6 ook overweg met locaties in Benelux Nieuws van 7 augustus 2012
Apple haalt YouTube-app uit iOS 6
Apple haalt YouTube-app uit iOS 6 Nieuws van 6 augustus 2012
Aanvaller krijgt toegang tot iCloud-account via helpdesk Apple
Aanvaller krijgt toegang tot iCloud-account via helpdesk Apple Nieuws van 6 augustus 2012
Apple biedt ontwikkelaars tijdelijk fix tegen gratis in-app-aankopen
Apple biedt ontwikkelaars tijdelijk fix tegen gratis in-app-aankopen Nieuws van 21 juli 2012
Apple probeert tevergeefs hack in-app-aankopen te blokkeren
Apple probeert tevergeefs hack in-app-aankopen te blokkeren Nieuws van 16 juli 2012
Hack maakt in-app aankopen op iOS gratis
Hack maakt in-app aankopen op iOS gratis Nieuws van 13 juli 2012
Meer producten en artikelen
Mobiele besturingssystemen Tablets Smartphones Apple iOS iPad iPhone Betalingsverkeer Beveiliging Hackers

Reacties (36)

-Moderatie-faq
36
33
26
2
0
5
Wijzig sortering
[Remmes] 23 juli 2012 14:33
is het niet mogelijk voor om nu een update uit te brengen voor apps, waardoor het controleert op een of andere manier??
kmf
@[Remmes]23 juli 2012 14:36
Jawel https://developer.apple.c...le_ref/doc/uid/TP40012484
kamerplant 23 juli 2012 14:28
Dat klinkt niet alsof dit een hoge prioriteit voor Apple is. iOS 6 duurt nog wel een tijdje. En voordat iedereen iOS6 heeft geïnstalleerd ben je sowieso een eind verder.
roy-t @kamerplant23 juli 2012 14:38
Ik denk dat het voor Apple wel een hoge prioriteit zou moeten hebben omdat zij wezenlijk aan de in-app aankopen verdienen. Ik vermoed dat er een grote technische fout zit in de API waardoor er geen enkele manier is om deze te fixen zonder ervoor te zorgen dat alle apps die al gemaakt zijn en deze API gebruiken niet meer correct werken.

Als ontwikkelaars hoe dan ook hun programma moeten aanpassen kunnen ze de workaround gebruiken, hoewel dat absoluut niet chique is van Apple omdat ontwikkelaars dan een eigen verificatie server moeten opzetten (waarbij waarschijnlijk vaak dezelfde DNS truuk uitgehaald kan worden maar dan moet de hack per programma aangepast worden wat natuurlijk teveel werk is.

Lees dit trouwens niet als een pleidooi om Apple vrij te pleiten van deze fout. De hack is kinderlijk eenvoudig en het is een wonder dat deze tot nu toe nog niet ontdekt was. Als je een server maakt die iets voor je verifierd is aanval optie #1 het verkeer naar deze server ontvangen en er wat anders mee doen en daar is dus absoluut geen rekening mee gehouden. Maarja zoals al een tijdje in het nieuws is neemt Apple beveiliging nog niet serieus genoeg maar dat komt nu vanzelf (dat moeten ze) nu ze weer zoveel succes hebben.
Wh4ck0 @roy-t23 juli 2012 16:06
Ik vind het niet een "Grote technische fout". Dit is gewoon een man-in-the-middle attack. Dat is best lastig te voorkomen als de gebruiker zelf proxies kan instellen.
Het enige wat ze kunnen doen is dus extra verificatie inbouwen om te checken of een device wel met de echte server communiceert. Maar dat zal dan ook wel gehackt kunnen worden.
snrwo1 @Wh4ck023 juli 2012 21:37
Daar hebben we toch secure socket layer of vergelijkbare oplossing voor? Dat is om èn de data die 'over' de lijn gaat te encrypten, èn te verifiëren dat de 'andere' kant is die zegt dat ie is. Dan moet je ook een certificaat hacken, zoals dat bij diginotar is gebeurd, maar dat is wel evewn wat anders dan deze simpele 'oplossing'. Iedere app moet een public key hebben en de private key staat op de server. Die is 'geheim' en niet af te leiden uit de publieke sleutel.
roy-t @Wh4ck023 juli 2012 23:31
Het is zelfs zo'n grote technische fout die zoveel voorkomt dat er zelfs een naam voor is ;). Sterker nog in het eerste beveiligingsvak dat ik kreeg tijdens mijn Bsc Informatica staat prima wat een MitM attack is en hoe je dit kunt voorkomen (door bijvoorbeeld gebruik te maken van station-to-station protocol (een variant op Diffie Hellman).

Dus ja het is een grote technische fout en je kunt veel meer doen dan alleen een beetje extra verificatie anders zouden we internetbankieren wel kunnen afschaffen. Elk communicatieprotocol dat te maken heeft met geld zou ten minste in theorie tegen een MitM attack moeten kunnen, eventuele implementatie fouten kunnen dan gefixed worden zonder dat je een nieuwe API nodig hebt (de fout zit dan in de backend die dus zo gepatched kan worden).
Verwijderd 23 juli 2012 14:27
Uit het eerdere bericht:
Een jailbreak is niet vereist; de ontwikkelaar toont de hack op een iPhone 4S met iOS 6, waarvoor nog geen jailbreak publiekelijk beschikbaar is. De hack zou ook moeten werken op een iPad of iPod touch, met iOS-versies 3.x tot 6.0.
nieuws: Hack maakt in-app aankopen op iOS gratis
Ik ben niet thuis op Mac gebied, maar is die versie 6 die hij gebruikte een beta?
Tijmenn @Verwijderd23 juli 2012 14:28
Beta. Dus dat kunnen ze voor release fixen
C00KW4US 23 juli 2012 14:44
En die hacker lachen joh! Al die iOS devices die via zijn server contact leggen, er zal vast wel systeeminformatie vergaard zijn op het moment dat een iOS device een in-app purchase deed via zijn server.
darkfader @C00KW4US23 juli 2012 16:43
En met die certificaten die je moet installeren kan hij ook wel veel doen :)
Punked24 23 juli 2012 14:47
Dus als je niet update naar IOS-6 kun je deze hack gewoon blijven gebruiken ?
.Johnny @Punked2423 juli 2012 15:53
Of daaraan gekoppeld: Apple wil graag dat mensen upgraden naar iOS6. Door de fix daarnaar uit te stellen zul je zien dat apps straks allemaal alleen maar updaten als je iOS6 hebt. Voor Apple zit hier dus ook wel een verdacht voordeel aan. Want nu kunnen ze ook meer hardware gaan verkopen: gebruikers willen hun apps up to date houden en dat kan straks opeens niet meer. Natuurlijk geldt dat niet voor iedereen, maar in de enorme getallen waarmee Apple handelt zal het ongetwijfeld mee helpen.
robin1979 23 juli 2012 14:50
Onder beta 3 (laatst vrijgegeven beta door Apple) werkt de hack nog steeds.
arjankoole
@robin197923 juli 2012 15:03
Onder beta 3 (laatst vrijgegeven beta door Apple) werkt de hack nog steeds.
Die werd ook gereleased voor de verklaring van Apple. De fix zal wellicht nog wat langer tijd vergen dan een Beta 3 die al in de pijplijn zat ( Beta 2 zat dicht op z'n "ik stop ermee" datum).

Ik verwacht de definitieve fix pas in beta 4 of beta 5 te zien, als dat al in een semipublieke beta naar voren komt. er zijn ook dingen die apple alleen intern test.
Verwijderd 23 juli 2012 14:23
Tot die tijd kunnen ze verifiëren via eigen servers? Dat kon ook al voor de hack en t was al bekend dat dit werkte. Gewoon gemakzucht van ontwikkelaars waardoor dit zo'n groot probleem werd..

Desondanks is het slecht dat ze het niet gelijk maken.. Maar goed, er is een oplossing.
Keypunchie
@Verwijderd23 juli 2012 14:29
Gewoon gemakzucht van ontwikkelaars waardoor dit zo'n groot probleem werd..
Dat gaat een beetje ver. Als ontwikkelaar is het absoluut niet je taak (en het lijkt me zelfs onverstandig) om je eigen klanten als je vijand te zien en te behandelen.

Er werd gebruik gemaakt van een publieke API van Apple, waarop je als ontwikkelaar best mag vertrouwen.

Daarnaast de "verliezen" die hier worden gemaakt zijn vooral aan verkopen aan mensen die geen geld voor je produkt over hebben. Het is een sub-onderdeel van het illegaal kopieren van apps.

Een ontwikkelaar kan over het algemeen beter zijn tijd en energie steken in het maken van een kwaliteitsprodukt, dan dat hij bezig is om allerlei DRM en anti-piraterij beveiligingen aan te scherpen. Daarmee plezier je je betalende klanten. Met het laatste ben je alleen maar bezig met mensen die _geen_ geld voor jouw produkt over hebben..
Verwijderd @Keypunchie23 juli 2012 14:46
Dat gaat een beetje ver. Als ontwikkelaar is het absoluut niet je taak (en het lijkt me zelfs onverstandig) om je eigen klanten als je vijand te zien en te behandelen.
Toch wel, je kunt geen enkele input vertrouwen. Als je er een gewoonte van maakt alle input te controleren voorkom je een hoop probleem.
Een gezonde dosis paranoia is dus helemaal niet verkeerd.
Het feit dat er 8 miljoen transacties middels de hack uitgevoerd zijn bevestigd toch dat de klanten niet te vertrouwen zijn.

Daarbij gooi je ook nogal je reputatie te grabbel, zeker wanneer je als ontwikkelaar een dergelijk app voor een andere partij ontwikkeld hebt en blijkt dat jouw app hier vatbaar vor was. Grote kans dat de betreffende klant de volgende keer niet meer bij je aanklopt voor een opdracht.
Een ontwikkelaar kan over het algemeen beter zijn tijd en energie steken in het maken van een kwaliteitsprodukt, dan dat hij bezig is om allerlei DRM en anti-piraterij beveiligingen aan te scherpen.
Een dergelijke vatbaarheid lijkt mij nou juist niet ten goede gaan van de kwaliteit van het product/app.
Keypunchie
@Verwijderd23 juli 2012 15:39
Een dergelijke vatbaarheid lijkt mij nou juist niet ten goede gaan van de kwaliteit van het product/app.
Hoezo? Wat doet bijvoorbeeld het feit dat je een produkt verkoopt dat helemaal geen serial of andere activatie nodig heeft af aan de kwaliteit van een produkt?

Voorbeeld: Elke OS X versie van 10.0 t/m 10.6
Het feit dat er 8 miljoen transacties middels de hack uitgevoerd zijn bevestigd toch dat de klanten niet te vertrouwen zijn.
Dit zijn dus juist niet je klanten*. Dit zijn de mensen die blijkbaar best ver willen gaan (installeren van certificaten en gebruik van een Russische server) om _niet_ te betalen. Deze mensen zijn niet je belangrijkste doelgroep, want dit zijn de mensen die flink moeite willen doen om _niet_ te betalen. Je doelgroep met software is juist mensen die bereid zijn om te betalen wanneer je het ze gemakkelijk maakt.

Dat wil allemaal niet zeggen dat het dom is om bijvoorbeeld extra verificatie in te bouwen. Ik zou het alleen absoluut op geen enkele manier tot een prioriteit maken. Je verkoopt je produkt nou eenmaal niet met hoe goed je DRM is.

*Overigens valt er nog wel wat af te dingen op die 8 miljoen trasacties. Dat is een mooi groot getal, dat het lekker doet in de media. De vraag is echter natuurlijk hoeveel gebruikers dat structureel zijn. Als iets gratis is, wordt er natuurlijk overgeconsumeerd: Als je normaal 10 euro voor 100 smurfbessen moet betalen, doe je dat waarschijnlijk niet meer dan 1 of 2 keer. Wanneer je het niets kost, dan koop je zonder knipperen misschien wel 1000 of meer smurfbessen.: een vertienvoudiging van het aantal transacties...

[Reactie gewijzigd door Keypunchie op 24 juli 2024 21:52]

Verwijderd @Keypunchie23 juli 2012 17:05
Niet het product dat je verkoopt middels de app, ik doelde op de app zelf. Daar was ik inderdaad niet duidelijk in. Als ontwikkelaar van apps voor klanten is dat je product. Dat was in ieder geval mijn redenering.
Dit zijn dus juist niet je klanten*. Dit zijn de mensen die blijkbaar best ver willen gaan (installeren van certificaten en gebruik van een Russische server) om _niet_ te betalen
Het zijn/waren in ieder geval potentiële klanten. Misschien hadden ze nooit betaald, misschien wel. Dat betekent niet dat je ze het maar 'makkelijk' moet maken.
Dat mensen zover willen gaan om iets 'gratis' te krijgen begrijp ik ook niet echt.

Ik ben het zeker met je eens dat die 8 miljoen een vertekend beeld geeft.
Hoeveel transacties vinden er bijvoorbeeld gewoonlijk in dezelfde periode plaats?
De betreffende transacties hebben natuurlijk wel in een hele korte tijdsperiode plaatsgevonden.
n4m3l355 @Keypunchie24 juli 2012 05:00
Beetje rare gedachte, als men veel muziek zomaar copieert is het vanwege dat het medium niet goed is (ondanks dat iTunes/Amazon bestaat). Vervolgens wanneer men een makkelijke manier vind in app zijn dit niet de mensen die je wilt hebben?

De realiteit is dat indien men makkelijk kan downloaden dit gewoon doet. Stel je voor dat deze hack langdurig in de omloop was dan zul je wellicht hetzelfde zien als met torrents heden ten dagen. Overigens mag je je afvragen in hoeverre dit niet nu al het geval is als je leest dat 40% van de gebruikers zijn iPhone jailbreaked. Of zijn dit ook allemaal gebruikers die je niet wilt targetten.

Apple dient zijn beveiliging gewoon goed in plaats te hebben dit is misschien deels te wijten aan de ontwikkelaars maar dit had gewoon op voorhand niet mogen gebruiken. Spijtig dat dit nu wordt afgewenteld op de domme gebruiker of ontwikkelaar maar dit komt een platform zeker niet ten goede. Ook verwondert het me dat ze de hack niet sneller patchen ipv dat ze met een work-around komen aanzetten.
Wh4ck0 @Keypunchie23 juli 2012 14:43
Sorry, maar over de "Receipt verification" hoef je ook niet na te denken, alleen toe te passen. Als de ontwikkelaars dat hadden gedaan was er geen probleem. Dus ben het wel eens met IXyzyzxl, dat het een beetje gemakszucht is.
Ik heb de verification al een antal keer gebruikt, en het is niet alsof het zo ingewikkeld is. Is gewoon en JSON request sturen met een encoded string die je krijg na een aankoop. En de apple server zegt dan of die valide is.
Zilla @Verwijderd23 juli 2012 14:27
Als ontwikkelaar wil je toch altijd nog een tweede, eigen controle doen? Zeker als het gaat om betalingen kan je niet voorzichtig genoeg zijn.
Xeanor 23 juli 2012 14:33
Inmiddels al 8 miljoen "transacties" gedaan. Ik betwijfel ten zeerste of Apple tegen de gebruikers die hiervan gebruik maakten ook maar iets zal doen in de trant van account blokkeren of wat dan ook. Mogelijk draaien ze in-app aankopen uiteraard terug, maar verder dan dat zal het denk ik toch echt niet gaan, het gaat om veel te veel gebruikers dan.

[Reactie gewijzigd door Xeanor op 24 juli 2024 21:52]

Glashelder 23 juli 2012 14:49
In-App Purchase Receipt Validation mocht voorheen niet gebruikt worden? Weten jullie dat zeker? Ik ben geen app developer maar uit de reacties van het originele Tweakers artikel over de hack maakte ik op dat die API al heeeeel lang bestaat..?
Danfoss 23 juli 2012 14:30
Dus op alle devices waar IOS-6 niet beschikbaar komt (bijvoorbeeld eerste Ipad) blijft deze 'hack' werken?
RobbieB
@Danfoss23 juli 2012 14:45
Goede vraag.

De developers kunnen nu gebruik maken van een private API van Apple (welke normaal niet toegankelijk is) om hun in-app purchases te laten controleren. (hier meer uitleg)

Hier kunnen de developers dus gebruik van maken totdat iOS 6 uitkomt. De vraag is of Apple deze mogelijkheid laat bestaan nadat 6.0 is uitgekomen. Ik verwacht van wel, maar zolang Apple hier geen uitsluitsel over geeft is het afwachten.
hiostu @Danfoss23 juli 2012 15:06
Dat gaat lekker zijn... Dan gaan alle developers dus de apps updaten en eisen dat je iOS 6 hebt. Dat is namelijk het minste werk. Dan zit je daar dan weer met je iPad van 2 jaar oud...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq