In-App-Hack: UDIDs werden nun auf Abrechnungen angezeigt

Der Kampf gegen den russischen Hacker, der über eine Sicherheitslücke in iOS das System der In-App-Käufe umgangen hat ist noch nicht vorbei. Eine neue Methode, die Apple anwendet um dem Hacker Einhalt zu gebieten ist, dass von nun an auf den Abrechnungen, die App-Entwickler für die In-App-Käufe erhalten die einzelnen UDIDs der Käufer angegeben ist.

Sperrung der Server-IP blieb erfolglos

Der russische Hacker hat es geschafft, mittels zwei modifizierter Zertifikate sowie einem eigenen DNS-Server die Bezahlung von In-App-Käufen zu umgehen. Hierfür ist nicht einmal ein Jailbreak nötig, der Hack ermöglicht es ausnahmslos jedem User, kostenfrei an zusätzliche App-Inhalte zu kommen.

Völlig verständlich, dass dies Apple ein Dorn im Auge ist. Als erste Maßnahme versuchte das Unternehmen, den Machenschaften des Hackers über eine Sperre der IP-Adresse des DNS-Servers Einhalt zu gebieten. Jedoch dauerte es nicht lange und ein neuer Server tauchte auf. Diese Methode verspricht also nur recht kurzfristigen Erfolg.

UDID ermöglicht genaue Zuordnung der Zahlungen

Als weiteren Schritt hat Apple nun laut MacRumors ein weiteres Feld in dem transaction receipt, also der Abrechnung, die die Entwickler über In-App-Käufe erhalten eingeführt. Das Feld heißt „unique_identifier“ und enthält den Unique Device Identifier (UDID) jedes Käufers, also die individuelle Gerätenummer. So können die User, die für ihre In-App-Inhalte nicht gezahlt haben zugeordnet und gegebenenfalls gesperrt werden.

Da Apple die Nutzung der UDID zur Identifizierung einzelner Kunden eigentlich untersagt hat, ist davon auszugehen, dass es sich nur um eine vorübergehende Maßnahme handelt, die wieder eingestellt wird, sobald Apple das Hacker-Problem in den Griff bekommen hat. Jedoch zeigt die Tatsache, dass Apple bereit ist, von den eigenen Datenschutzrichtlinien abzuweichen, wie ernst das Unternehmen den Kampf gegen den In-App-Hack nimmt.

Die ganze Sache entwickelt sich inzwischen zu einem Katz- und Mausspiel. Die Nutzung der UDIDs wird sicher erst einer der ersten Schritte sein. Apple wird noch etwas tiefer in die Trickkiste greifen müssen, um den Missbrauch zu beenden.