Schlampige Codierung in einigen beliebten iOS-Spielen ermöglicht es Hackern, sich und anderen kostenlos In-App-Käufe im Wert von Tausenden von Dollar zu geben.
Das Loch wurde von Entwicklern bei DigiDNA entdeckt, dem Schöpfer von ein Backup-Tool namens iMazing die es iPhone- und iPad-Benutzern ermöglicht, auf die versteckten Dateisysteme ihrer Geräte zuzugreifen. Die Entwickler fanden heraus, dass die Funktion zum Sichern/Wiederherstellen von Apps in iMazing 1.3 Schwachstellen in der Art und Weise aufdeckt, wie Spiele wie Angry Birds 2 und Tetris kostenlos In-App-Käufe abwickeln.
Um zu demonstrieren, wie einfach es ist, In-App-Käufe mit dieser Methode zu hacken, hat das DigiDNA-Team optimiert Angry Birds 2 um das Spiel mit 999.999.999 Edelsteinen zu beginnen – das entspricht 10.000 US-Dollar Spielguthaben.
Rovios Angry Birds 2 ist kostenlos zum Download, aber um voranzukommen, müssen Spieler mit sogenannten „In-App-Käufen“ bezahlen. Das Spiel wurde in der ersten Woche mehr als 20 Millionen Mal heruntergeladen.
Dieser Fehler könnte Entwickler der In-Game-Upgrades berauben, die nach den ersten Downloads Einnahmen generieren. Apple zahlte Entwicklern im Jahr 2014 mehr als 10 Milliarden US-Dollar und machte damit die sogenannte App Economy größer als Hollywood.
In-App-Käufe sind ein beliebtes Geschäftsmodell von App-Herstellern. Viele Apps können kostenlos heruntergeladen werden, erfordern jedoch In-App-Käufe, um Funktionen freizuschalten, zum nächsten Level zu gelangen oder Werbung zu entfernen. Es ist besonders beliebt bei Spielen. Der Verlust von In-App-Käufen könnte Entwickler theoretisch viel Geld kosten, wenn sie ihren Code nicht sichern.
„Viele andere Apps sind anfällig“, sagte Jérôme Bédat, Miteigentümer von DigiDNA, der die Schwachstelle entdeckte.
Foto: iMazing
Der Hack kommt auf der Rückseite des XcodeGhost-Enthüllungen, die enthüllte, dass Dutzende von Apps mit Malware verseucht waren, darunter – leider für Rovio – die chinesische Version von Angry Birds 2.
Der Fehler wurde von Gregorio Zanon, Miteigentümer von DigiDNA, entdeckt, als er eine neue Version des testete iMazing Backup-Tool. Er fand heraus, dass Backups beliebter Spiele wie Angry Birds 2 und Tetris kostenlos können von einer Apple-ID auf eine andere übertragen werden, einschließlich aller In-App-Käufe.
Zanon hat fünf Apps getestet, die auf IAPs angewiesen sind (Angry Birds 2, Temple Run 2, Tetris kostenlos, Candy Crush und Clash of Clans) und veröffentlichte die Ergebnisse auf dem Blog von DigiDNA.
Geben Sie Apple nicht die Schuld für diese Sicherheitslücke
DigiDNA sagte, die Schwachstelle sei nicht die Schuld von Apple. Das Problem ist das, was Zanon von App-Entwicklern als „faules Programmieren“ bezeichnet hat. Die Hersteller der kompromittierten Apps sind den von Apple einfach nicht gefolgt Empfehlung, gekaufte Artikel von Backups auszuschließen. Stattdessen speichern die betroffenen Apps gekaufte Elemente in der Sandbox der App, auf die in einem Backup zugegriffen werden kann.
Die Schwäche des In-App-Kaufs konnte zuvor durch Bearbeiten und Wiederherstellen eines iOS-Backups mit den gehackten Daten ausgenutzt werden. Solche vollständigen Wiederherstellungen sind jedoch zeitaufwändig, weshalb wahrscheinlich viele Leute die Fehler nie ausgenutzt haben. Mit neuen Backup-Tools wie iMazing, die die Reibung eines vollständigen Backups beseitigen, können Benutzer ihre gehackten In-App-Käufe einfach exportieren und teilen.
Alles, was ein Benutzer tun muss, um den „kostenlosen“ In-App-Kauf auf seinem Gerät zu erhalten, ist iMazing zu öffnen und die App-Datei auf seinem Gerät wiederherzustellen, was kaum eine Minute dauert. Die Schwachstelle erlaubt es Hackern nicht, den Code der App selbst zu manipulieren, macht es jedoch sehr einfach, die Käufe von jemand anderem auf Ihrem Gerät abzurufen.
Apps können auf zwei Arten angreifbar sein: übertragbare Käufe und anpassbare Spielwährung. Letzteres ist das Worst-Case-Szenario, das es ermöglicht, die Spielwährung auf ein unglaublich hohes Niveau zu manipulieren, indem unverschlüsselte Dateien in einem Backup bearbeitet werden. Benutzer können dann ein Backup der App erstellen und die Patches online freigeben (in Form von .imazingapp-Dateien).
„Ein Benutzer kann IAPs kaufen und den App-Status an eine unendliche Anzahl anderer Benutzer verteilen“, sagte Zanon. „Einer kauft, viele genießen.“
Ein Apple-Vertreter, der von Cult of Mac wegen der Sicherheitslücke kontaktiert wurde, lehnte eine Stellungnahme ab. Rovio und Electronic Arts haben noch nicht auf Anfragen nach Kommentaren geantwortet.
Zanon und seine Kollegen testeten nur eine Handvoll Apps, stellten jedoch fest, dass etwa die Hälfte anfällig war. Sie glauben, dass das Problem weit verbreitet ist und dass Tausende von Apps möglicherweise anfällig für den Fehler sein könnten.
„Unsere Position ist vollkommen klar“, sagte Zanon. „Wir möchten nicht, dass unsere Benutzer IAPs hacken. Wir sind einfach über die Faulheit der Entwickler gestolpert und gehen hauptsächlich deshalb an die Öffentlichkeit, weil wir nicht möchten, dass iMazing mit Hacks in Verbindung gebracht wird. Wenn wir uns nicht äußern, können die Nachrichten irgendwann an die Öffentlichkeit gelangen und unserem Ruf schaden. Kurz gesagt, wir sind begeistert, die erste Software zu sein, die die Sicherung/Wiederherstellung von Apps auf iOS 9 ermöglicht, würden es aber hassen, diese coole Funktion in Verbindung mit Piraten zu sehen.“
Zanon und Bédat forderten Entwickler dringend auf, ihren Code für die Abwicklung von In-App-Käufen zu überprüfen.
„Das Patchen von schwachem Code sollte Entwickler nur wenige Stunden in Anspruch nehmen“, sagte Bédat.