Da verspricht Apple einen Fix für iOS 6, um den kürzlich aufgetauchten Trick auszuschließen, der es ermöglicht In-App-Käufe kostenlos durchzuführen – und schon veröffentlicht der Anbieter des Hacks eine weitere Variante für den Mac App Store. Auch dieser funktioniert wie die Variante für iOS über den Eintrag eines bestimmten Nameservers und die Installation eines Zertifikats, können die Abfragen für In-App-Käufe an einen Server umgeleitet, der jede entsprechende Anfrage so beantwortet, als wäre der geforderte Betrag für den In-App-Kauf gezahlt worden.
Die ganze Situation sieht natürlich nicht gut aus für Apple: Trotz ihrer Bemühungen konnten sie den ursprünglichen Hack nicht blockieren und müssen sich jetzt auch mit der Variante für den Mac App Store rumschlagen. Gegen solche Man-in-the-Middle-Attacken vorzugehen ist natürlich nie ganz einfach, aber durchaus machbar. Wollen wir mal hoffen, dass dieser Hack keine große Verbreitung findet. Nicht wegen Apple oder den App-Entwicklern: Jeder User, der um ein paar Euro zu sparen bereit ist, seinen Computer oder Smartphone einem unbekannten Dritten zu öffnen und diesem auch die Zugangsdaten für seine Apple ID zu schicken, stellt ein Sicherheitsrisiko für alle anderen Internetnutzer dar.
Wahrscheinlich wird man sich nicht nur bei Apple sehr intensiv mit der ganzen Sachen beschäftigen, auch andere Betreiber ähnlicher Stores dürften sich diese Attacke sehr genau anschauen, um möglichst zu verhindern die nächsten Opfer zu werden.
Quelle: ZDNet via Caschys Blog