29. Juli 2015

Sascha Schild

Schwachstelle bei App Store-Rechnungen: E-Mail kann Schadcode enthalten

Benjamin Kunz Mejri vom Vulnerability Lab hat eine Lücke in Apples Abrechnungssystem aufgedeckt. Dies betrifft Rechnungen vom App Store gleichermaßen wie vom iTunes Store. Sobald ihr einen Einkauf über den besagten Online-Laden tätigt, wird vom System automatisch eine Rechnungen generiert und euch und dem Verkäufer per E-Mail zugesandt. Der Fehler im System liegt in der Zeile, in der das Gerät angezeigt wird, über welches ihr die Transaktion getätigt habt. In dieser ist es möglich einen Schadcode einzufügen, der von Apples Abrechnungssystem eins zu eins übernommen wird. Dadurch könnten Online-Kriminelle Sitzungen von Usern übernehmen oder selbige auf beispielsweise Fake-Seiten umleiten. Für Nutzer bleibt das unentdeckt, denn die Absenderadresse bleibt die bekannte @email.apple.com. Da haben selbst erfahrene User keine Bedenken. Der Code wird innerhalb eines Iframe in der HTML-Mail dargestellt, was im Glücksfall durch das Mail-Programm blockiert wird.

Unbenannt

Mejri hat den Fall im Juni diesen Jahres an Apple übermittelt. Eine Reaktion gab es darauf bislang jedoch nicht. Ebenso wenig wie die Schließung dieser brisanten Sicherheitslücke.

Über eure Apple-ID lässt sich der Kauf von Apps und Musik ebenfalls nachverfolgen.

Weitere Artikel

Facebook: Nachlasskontakt kann eingerichtet werden

Yahoo will sich (wieder) in den Messenger-Kampf stürzen

16 Gedanken zu „Schwachstelle bei App Store-Rechnungen: E-Mail kann Schadcode enthalten“

    • Wieso iOS?! Kannst auch mit dem Mac was im iTunes Store kaufen etc. Es geht ja um das Abrechnungssystem, welches zentral für sämtliche Applegeräte agiert!
    • Nachdem ein solches Thema in der Öffentlichkeit breitgetreten wurde, wissen jetzt auch tatsächlich die letzten Deppen in der letzten Reihe, wie sie Schadsoftware verteilen können! Eigentlich sollten bei euch tonnenweise Dankes E-Mails ein Treffen. Eine genaue Anleitung, wie man eine solche Software schreibt ist jetzt das einzige, was noch fehlt!
      • Ich denke, dass die Wirkung der Sensibilisierung hier deutlich höher ist, als die Anzahl der Nachahmer. Um das zu realisieren, muss man schon etwas Aufwand betreiben. Wir haben mit Absicht auf genaue Details verzichtet.
  3. Was mich immer so brutal nervt ist,dass Apple auf sowas nicht reagiert und Stellung bezieht. Man Jungs,kommt von Eurem hohen Thron runter und gesteht Fehler ein bzw seid dankbar,wenn ihr auf Bugs aufmerksam gemacht werdet!!!!!
    • Oder die sollen den Fehler innerhalb ein paar Tagen beheben und dann ein Statement ab geben, das der Fehler entdeckt und behoben wurde.
  6. Ich lese hier in der letzten Zeit fast ausschließlich nur noch von unzufriedenen Usern. Warum steigt ihr nicht einfach auf einen anderen Anbieter um? Viel weniger Stress und viel weniger Zeit, die ihr mit destruktiven Kommentaren verbringen müsstet ;-)
    • Die die unzufrieden sind wechseln oftmals mit Absicht nicht – ansonsten könnten sie sich ja nicht mehr bei den verschiedensten Möglichkeiten beschweren und meckern ;)
    • Ich hätte eh gerne ein Samsung Note 4. Echt toll der S-Pen. Aber wenn man dann so liest, was für Bugs es bei Samsung gibt und dann muss man ein halber Programmierer sein, um Android im Griff zu haben … Da bleib ich lieber noch bei Apple. Aber ein bisschen aufregen muss man sich schon. Sonst glauben die noch, die können sich alles erlauben. Ein bisschen Druck ist dir richtige Motivation. Dafür kassieren die ja auch ordentlich.
  8. Auf Apple zu schimpfen ist hier wenig hilfreich. – Meine konkrete Frage : wie kann ich überhaupt den Schadcode unter dem Namen des devices erkennen, über den der Kauf getätigt wurde?? Wenn ich das richtig verstanden habe, geht eine Rechnung an mich und eine Kopie an den Verkäufer. So sieht er Name, Adresse und den E-Mail Teil meiner Apple ID. Aber das Passwort kann nicht identifiziert werden oder?? Ich wünsche mir eine gute Antwort als dieses Gesülze zu diesem Artikel. Dazu ist das zu wichtig.

Die Kommentare sind geschlossen.