Apples App-Store-Verantwortung für In-App-Items

15. Juli 2012 – 22:35 Uhr
IPhoneBlog de Provisioning

Marco Tabini bündelt für Macworld.com noch einmal die Fakten der Freitagsgeschichte über den Klau von ‚In-App-Items‘ unter iOS und stellt die berechtigte Frage inwieweit Apple in die Pflicht zu nehmen ist.

Apple is perfectly aware of this limitation, and strongly recommends that developers use their own mechanism to validate IAP receipts. Typically, this involves setting up a separate server, sending the receipts over to it, and then validating them against Apple’s servers.

[…] Besides, the entire premise of the App Store is that the whole app distribution process is delegated to Apple precisely so that developers can focus on what they do best: Write great apps. Apple’s 30 percent cut becomes much harder to justify if, in addition to writing great software, developers also have to worry about being defrauded.

via Macworld.com

Apples ‚App-Store-Verantwortung‘ spielt in der Diskussion eine entscheidende Rolle. Ja, Entwickler können ihre In-App-Einnahmen durch einen technischen Mehraufwand schützen. Ja, über dessen (Arbeits-)Umfang (Server-Kosten, Software-Pflege, Verschlüsselungskenntnisse, etc.) lässt sich streiten. Aber glaubt man den diversen Tutorials für diesen ‚Hack‘, scheint er in hohem Maße ‚kompatibel‘. Das unterstützt die Annahme, dass viele Entwickler die separate Prüfung der In-App-(Kauf-)Belege nicht durchführen.

Mittlerweile spendiert eine simple 3-Schritt-Anleitung bereits technisch unbedarften Nutzer ohne Jailbreak den Gratis-Download. Ob die Konsequenzen, die ein geänderter DNS-Eintrag und ein Gaukel-Zertifikat so mit sich bringen, vollständig umrissen werden, zweifle ich an.

Wie der Hacker gegenüber Macworld erklärte, werden die Passwörter, die beim Kauf im Appstore eingegeben werden, im Klartext übertragen.

via Mobsec.de

Selbst wenn man rücksichtslos argumentiert, dass hier ohnehin nur die Nutzerkonten von ‚In-App-Dieben‘ gestohlen werden (welch Ironie!), verliert man aus den Augen, dass geknackte iTunes-Accounts* eine negative Auswirkung auf das gesamte Ökosystem haben – angefangen bei Cheatern mit unendlichen Game-Ressourcen (beispielsweise Waffen, Gegenstände oder Zaubertränke), bis zum Vertrauensverlust in das iTunes-Bezahlsystem.

Apple hat ein eigenes (ausgeprägtes) Interesse daran, solche ‚Tricks‘ in ihrer streng kontrollierten Umgebung einzudämmen – wird’s ‚praxistauglich‘, hat man verloren. Unter Jailbreak-Bedingungen fehlt dieses Problembewusstsein, weil man sowieso bemüht ist, jede Schwachstelle die den iOS-Dateibaum entblößt, auszubessern.

In-App-Betrügern, die keinen Jailbreak benötigen, muss man sich allerdings aus eigener Anstrengung entgegenstemmen, weil für Apple selbst zuviel auf dem Spiel steht.

* Um sich vom Vorwurf des Accounts-Diebstahls loszusagen, modifizierte der verantwortliche Hacker bereits an diesem Wochenende seine Proxy-Methode, die ab sofort keine (richtigen) iTunes-Login-Daten mehr verlangt. Trotzdem existieren Trittbrettfahrer, trotzdem leitet man seinen (gesamten) Datenverkehr durch dunkle Gassen, trotzdem reißen manipuliere Zertifikate Sicherheitslücken auf und ganz bestimmt will man nicht wegen ein paar Goldtalern irgendwann mit heruntergelassenen Hosen dastehen.